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Prtifungsantrag gern. § 44 PatG ist gestellt 

(S) Verfahren und Anordnung zum rechnergestiitzten Austausch kryptographischer Schlussel zwischen einer 
ersten Com pute rein heit und einer zweiten Computereinheit 

@ Die Erfindung betrifft ein Verfahren, mit dem ein Sit- 
zungsschlussel zwischen einer ersten Computereinheit 
und einer zweiten Computereinheit vereinbart werden 
kann, ohne dafc ein unbefugter Dritter nutzliche Informa- 
tionen bezuglich der Schlussel oder der Identitat der er- 
sten Computereinheit erhalten kann. Dies wird erreicht 
durch die Einbettung des Prinzips des El-Gamal Schlus- 
selaustauschs in das Verfahren mit einer zusatzlichen Bil- 
dung einer digitalen Unterschrift uber einen Hash-Wert, 
dessen Eingangsgrofce mindestens GrofSen, aus denen 
auf den Sitzungsschlussel eindeutig ruckgeschlossen 
werden kann, aufweist. 



in 
a 
r> 

CM 
CM 

00 
O 



BUNDESDRUCKEREI 09.99 902 047/414/1 



25 



DE 198 22 795 A 1 



l 

Beschreibung 



Verfahren und Anordnung zum rechnergestiitzten Aus- 
tausch kryptographischer Schliissel zwischen einer ersten 
Computereinheit und einer zweiten Computereinheit. 

Die Erfindung betrifft den rechnergestiitzten Austausch 
kryptographischer Schliissel zwischen einer ersten Compu- 
tereinheit und einer zweiten Computereinheit. 

Informationstechnische Systeme unterliegen verschiede- 
nen Bedrohungen. So kann z. B. iibertragene Information 
von einem unbefugten Dritten abgehort und verandert wer- 
den. Eine weitere Bedrohung bei der Kommunikation 
zweier Kommunikation spartner liegt in der Vorspiegelung 
einer falschen Identitat eines Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch verschie- 
dene Sicherheitsmechanismen, die das informationstechni- 
sche System vor den Bedrohungen schiitzen sollen, begeg- 
net. Ein zur Sicherung verwendeter Sicherheitsmechanis- 
mus ist die Verschliisselung der iibertragenen Daten. Damit 
die Daten in einer Kommunikationsbeziehung zwischen 
zwei Kommunikationspartnern verschliisselt werden kon- 
nen, miissen vor der Ubertragung der eigentlichen Daten zu- 
erst Schritte durchgefiihrt werden, die die Verschliisselung 
vorbereiten. Die Schritte konnen z. B. darin bestehen, daB 
sich die beiden Kommunikationspartner auf einen Ver- 
schliisselungsalgorithmus einigen und daB ggf. die gemein- 
samen geheimen Schliissel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmechanis- 
mus der Verschliisselung bei Mobilfunksystemen, da die 
iibertragenen Daten in diesen Systemen von jedem Dritten 
ohne besonderen zusatzlichen Aufwand abgehort werden 
konnen. 

Dies fiihrt zu der Anforderung, eine Auswahl bekannter 
Sicherheitsmechanismen so zu treffen und diese Sicher- 
heitsmechanismen geeignet zu kombinieren, sowie Kom- 
munikationsprotokollc zu spczifizicrcn, daB durch sic die 
Sicherheit von informationstechnischen Systemen gew r ahr- 
leistet wird. 

Es sind verschiedene asymmetrische Verfahren zum rech- 
nergestiitzen Austausch kryptographischer Schliissel be- 
kannt. 

Asymmetrische Verfahren, die geeignet sind fiir Mobil- 
funksysteme, sind in [1], [2], [3] und [4] beschrieben. 

Das in [1] beschriebene Verfahren bezieht sich ausdriick- 
lich auf lokale Netzwerke und stellt hohere Rechenlei- 
stungsanforderungen an eine Computereinheit eines Kom- 
munikationspartners wahrend des Schliisselaustauschs. Au- 
Berdem wird in dem Verfahren mehr Ubertragungskapazilat 
benotigt als bei dem erfindungsgemaBen Verfahren, da die 
Lange der Nachrichten groRer ist als bei der Erfindung. 

Das in [2] beschriebene Verfahren hat einige grundle- 
gende Sicherheitsziele nicht realisiert. Die explizite Authen- 
tifikation des Netzes durch den Benutzer wird nicht erreicht. 
AuBerdem wird ein vom Benutzer an das Netz iibertragener 
Schliissel vom Netz nicht an den Benutzer bestatigt. Auch 
eine Zusicherung der Frische (Aktualitat) des Schliissels fiir 
das Netz ist nicht vorgesehen. Ein weiterer Nachteil dieses 
Verfahrens besteht in der Beschrankung auf das Rabin- Ver- 
fahren bei der impliziten Authentifizierung des Schliissels 
durch den Benutzer. Dies schrankt das Verfahren in einer 
flexibleren Anwendbarkeit ein. AuBerdem ist kein Sicher- 
heitsrnechanismus vorgesehen, der die Nichtabstreitbarkeit 
von iibertragenen Daten gewahrleistet. Dies ist ein erhebli- 
cher Nachteil vor allem auch bei der Erstellung unanfecht- 
barer Gebiihrenabrechnungen fiir ein Mob ilfunksy stem. 
Auch die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 
(NEST DSS) als verwendete Signaturfunktion schrankt das 



Verfahren in seiner allgemeinen Verwendbarkeit ein. 

Das in [3] beschriebene Verfahren hat ein grundlegendes 
Sicherheitsziel nicht realisiert: Die explizite Authentifika- 
tion des Benutzers durch das Netz wird nicht erreicht. 
5 Das in [4] beschriebene Verfahren basiert auf der An- 
nahme der Existenz von gemeinsamen geheimen Schliisseln 
sowohl zwischen Benutzer und besuchtem Netz als auch 
zwischen Benutzer und Heimatnetz vor Beginn eines Proto- 
kollaufs. Diese Annahme ist fiir viele Einsatzfalle zu ein- 

10 schrankend. 

Ferner ist ein Verfahren zum sicheren Datenaustausch 
zwischen vielen Teilnehmern unter Mitwirkung einer Zerti- 
fizierungsinstanz aus [5] bekannt. Das bei diesem Verfahren 
verwendete Protokoll weist eine Zufallszahl, eine Identitats- 

15 angabe sowie einen offentlichen Schliissel und einen Sit- 
zungsschlussel auf. Grundlegende Sicherheitsziele werden 
jedoch bei diesem Verfahren nicht realisiert. 

Weiterhin ist ein Verfahren fiir eine PC-PC-Kommunika- 
tion unter Mitwirkung eines Trust- Centers aus [61 bekannt. 

20 Aus [7] ist ein Verfahren bekannt, bei dem unter Verwen- 
dung sowohl eines offentlichen als auch eines geheimen 
Schliissels sowie unter Verwendung einer Zufallszahl ein 
Sitzungsschliissel erzeugt wird. Dieser wird mit einem of- 
fentlichen Schliissel verkniipft. 

25 Weiterhin ist in [8] ein Verfahren beschrieben, bei dem 
eine Benutzereinheit sich gegeniiber einer Netzeinheit iden- 
tifiziert. AnschlieBend findet unter Anwendung einer Hash- 
Funktion zwischen der Benutzereinheit und der Netzeinheit 
ein Authentifizierung sprozeB statt. 

30 Weitere sichere Kommunikationsprotokolle, die aber we- 
sentliche grundlegende Sicherheitsziele nicht. realisieren, 
sind aus [9] bekannt. 

Aus [10] ist es bekannt, daB in einer ersten Computerein- 
heit aus einer ersten Zufallszahl mit Hilfe eines erzeugenden 

35 Elements einer endlichen Gruppe ein erster Wert gebildet 
wird, der zu einer zu einer zweiten Computereinheit iibcrtra- 
gen wird. In der zweiten Computereinheit wird ein Sitzungs- 
schliissel gebildet durch Hash-Wert-Bildung des ersten 
Werts, der mit einem geheimen Netzschliissel exponiert 

40 wird. In der ersten Computereinheit wird ebenfalls der Sit- 
zungsschliissel gebildet, dort jedoch durch Hash-Wert-Bil- 
dung eines offentlichen Netzschliissels, der mit der ersten 
Zufallszahl exponiert wird. Ferner wird dort ein Hash- Wert 
fiber den Sitzungsschliissel gebildet und der Hash- Wert wird 

45 digital signiert. Der sich ergebende Signatuterm wird zu der 
zweiten Computereinheit iibertragen und dort verifiziert. 

Das in [11] beschriebene Verfahren erreicht die wesentli- 
chen Sicherheitsziele, jedoch mit einem hoheren Aufwand 
an Rechenleistung und Ubertragungskapazitat. 

50 Asymmetrische Verfahren beruhen im wesentlichen auf 
zwei Problemen der Komplexitatstheorie, dem Problem zu- 
sammengesetzte Zahlen effizient zu faktorisieren, und dem 
diskreten Logarithmusproblem (DLP). Das DLP besteht 
darin, daB in geeigneten Rechenstrukturen zwar Exponen- 

55 tiationcn effizient durchgefiihrt werden konnen, daB jedoch 
fiir die Umkehrung dieser Operation, das Logarithmieren, 
keine efhzienten Algorithmen bekannt sind. 

Solche Rechenstrukturen sind z. B. unter den oben be- 
zeichneten endlichen Gruppen zu verstehen. Diese sind z. B. 

60 die multiplikative Gruppe eines endlichen Korpers (z. B. 
Multiplizieren Modulo p, wobei p eine groBe Primzahl ist), 
oder auch sogenannte "elliptische Kurven". Elliptische Kur- 
ven sind vor allem deshalb interessant, well sie bei gleichem 
Sicherheitsniveau wesentliche kiirzere Sicherheitsparameter 

65 erlauben. Dies betrifft die Lange der offentlichen Schliissel, 
die Lange der Zertifikate, die Lange der bei der Sitzungs- 
schliisselvereinbarung auszutauschenden Nachrichten so- 
wie die Lange von digitalen Signaturen, die jeweils im wei- 
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teren beschrieben werden. Der Grund dafiir ist, daB die fiir 
elliptische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fiir endliche Korper. 

Eine groBe Primzahl in diesem Zusammenhang bedeutet, 
daB die GroBe der Primzahl so gewahlt werden muB, daB die 5 
Logarithmierung so aufwendig ist, daB sie nicht in vertretba- 
rer Zeit durchgeftihrt werden kann. Vertretbar bedeutet in 
diesem Zusammenhang einen Zeitraum entsprechend der 
Sicherheitspolitik von mehreren Jahren bis Jahrzehnten und 
langer. 10 

Unter einer Hash-Funktion ist in diesem Zusammenhang 
eine Funktion zu verstehen, bei der es nicht moglich ist, zu 
einem gegebenen Funktionswert einen passenden Eingangs- 
werL zu berechnen. Ferner wird einer beliebig langen Ein- 
gangszeichenfolge eine Ausgangszeichenfolge fester Lange 15 
zugeordnet. Des weiteren konnen fiir die Hash-Funktion zu- 
satzliche Eigenschaften gefordert werden. Eine solche zu- 
satzliche Eigenschaft ist Kollisionsfreiheit, d. h. es darf 
nicht moglich sein, zwei verschiedene Eingangszeichenfol- 
gen zu finden, die dieselbe Ausgangszeichenfolge ergeben. 20 

Der Erfindung liegt das Problem zugrunde, ein verein- 
fachtes Verfahren zum rechnergestiitzten Austausch krypto- 
graphischer Schliissel anzugeben, das nicht die Existenz ge- 
meinsamer geheimer Schliissel voraussetzt. 

Dieses Problem wird durch das Verfahren gemaB Patent- 25 
anspruch 1 sowie durch die Anordnung gemaB Patentan- 
spruch 29 gelost. 

Bei dem Verfahren wird aus einer ersten Zufallszahl mit 
Hilfe eines erzeugenden Elements einer endlichen Gruppe 
in der ersten Computereinheit ein erster Wert gebildet. Eine 30 
erste Nachricht wird von der ersten Computereinheit an die 
zweite Computereinheit iibertragen, wobei die ersten Nach- 
richt mindestens den ersten Wert aufweist. In der zweiten 
Computereinheit wird ein Sitzungsschliissel mit Hilfe einer 
ersten Hash-Funktion gebildet wird, wobei eine erste Ein- 35 
gangsgroBc der ersten Hash-Funktion mindestens einen er- 
sten Term aufweist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts mit einem geheimen Netzschliissel. 
In der ersten Computereinheit wird der Sitzungsschliissel 
gebildet mit Hilfe der ersten Hash-Funktion, wobei eine 40 
zweite EingangsgroBe der ersten Hash-Funktion mindestens 
einen zweiten Term aufweist, der gebildet wird durch eine 
Exponentiation eines offentlichen Netzschliissels mit der er- 
sten Zufallszahl. In der ersten Computereinheit wird mit 
Hilfe einer zweiten Hash-Funktion oder der ersten Hash- 45 
Funktion eine vierte EingangsgroBe gebildet, wobei eine 
dritte EingangsgroBe fur die erste Hash-Funktion oder fiir 
die zweite Hash-Funktion zur Bildung der vierten Eingangs- 
groBe eine oder weitere GroBen aufweist, aus denen auf den 
Sitzungsschliissel eindeutig riickgeschlossen werden kann. 50 
In der ersten Computereinheit wird ein Signaturterm aus 
mindestens der vierten EingangsgroBe gebildet wird unter 
Anwendung einer ersten Signaturfunktion. Eine dritte Nach- 
richt wird von der ersten Computereinheit an die zweite 
Computereinheit iibertragen, wobei die dritte Nachricht 55 
mindestens den Signaturterm der ersten Computereinheit 
aufweist. In der zweiten Computereinheit wird der Signatur- 
term verifiziert. 

Bei der Anordnung sind die erste Computereinheit und 
die zweite Computereinheit derart eingerichtet sind, daB fol- 60 
gende Verfahrensschritte durchfiihrbar sind: 

- aus einer ersten Zufallszahl wird mit Hilfe eines er- 
zeugenden Elements einer endlichen Gruppe in der er- 
sten Computereinheit ein erster Wert gebildet, 65 

— eine erste Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit iibertragen, wo- 
bei die erste Nachricht mindestens den ersten Wert auf- 
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weist, 

- in der zweiten Computereinheit wird ein Sitzungs- 
schliissel mit Hilfe einer ersten Hash-Funktion gebil- 
det, wobei eine erste EingangsgroBe der ersten Hash- 
Funktion mindestens einen ersten Term aufweist, der 
gebildet wird durch eine Exponentiation des ersten 
Werts mit einem geheimen Netzschliissel, 

- in der ersten Computereinheit wird der Sitzungs- 
schliissel gebildet mit Hilfe der ersten Hash-Funktion, 
wobei eine zweite EingangsgroBe der ersten Hash- 
Funktion mindestens einen zweiten Term aufweist, der 
gebildet wird durch eine Exponentiation eines offentli- 
chen Netzschliissels mit der ersten Zufallszahl, 

- in der ersten Computereinheit wird mit Hilfe einer 
zweiten Hash-Funktion oder der ersten Hash-Funktion 
eine vierte EingangsgroBe gebildet wird, wobei eine 
dritte EingangsgroBe fiir die erste Hash-Funktion oder 
fiir die zweite Hash-Funktion zur Bildung der vierten 
EingangsgroBe eine oder weitere GroBen aufweist, aus 
denen auf den Sitzungsschliissel eindeutig riickge- 
schlossen werden kann. 

- in der ersten Computereinheit wird ein Signaturterm 
aus mindestens der vierten EingangsgroBe gebildet un- 
ter Anwendung einer ersten Signaturfunktion, 

- eine dritte Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit iibertragen, wo- 
bei die dritte Nachricht mindestens den Signaturterm 
der ersten Computereinheit aufweist, und 

- in der zweiten Computereinheit wird der Signatur- 
term verifiziert. 

Die durch die Erfindung erreichten Vorteile liegen vor al- 
lem in einer erheb lichen Reduktion der Lange der iibertrage- 
nen Nachrichten und in der Realisierung weiterer Sicher- 
heitsziele. 

Die Erfindung ist auBcrdcm schr lcicht an untcrschicdli- 
che Anforderungen anpaBbar, da es sich nicht auf bestimmte 
Algorithmen fiir Signaturbildung und Verschliisselung be- 
schrankt. 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich 
aus den abhangigen Anspriichen. 

In einer Weiterbildung ist es vorgesehen, einen langlebi- 
gen geheimen Netzschliissel und einen langlebigen offentli- 
chen Netzschliissel einzusetzen. 

Unter einem langlebigen Schliissel ist im weiteren ein 
Schliissel zu verstehen, der fiir mehrere Protokollaufe einge- 
setzt wird. 

Durch die Erfindung und ihre Weiterbildungen werden 
folgende Sicherheitsziele realisiert: 

- Gegenseitige explizite Authentifizierung von dem 
Benutzer und dem Netz, d. h. die gegenseitige Verifi- 
zierung der behaupteten Identitat, 

- Schliisselvereinbarung zwischen dem Benutzer und 
dem Netz mit gcgcnscitigcr implizitcr Authentifizie- 
rung, d. h., daB durch das Verfahren erreicht wird, daB 
nach AbschluB der Prozedur ein gemeinsamer gehei- 
mer Sitzungsschliissel zur Verfiigung stent, von dem 
jede Partei weiB, daB nur das authentische Gegeniiber 
sich ebenfalls im Besitz des geheimen Sitzungsschliis- 
sels befinden kann, 

- Zusicherung der Frische (Aktualitat) des Sitzungs- 
schliissels fiir den Benutzer, 

gegenseitige Bestatigung des Sitzungsschliissels von 
dem Benutzer und dem Netz, d. h. die Bestatigung, daB 
das Gegeniiber tatsachlich im Besitz des vereinbarten 
geheimen Sitzungsschliissels ist. 
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Auf diese Sicherheitsziele beziehen sich auch die folgen- 
den vorteilhaften Weiterbildungen des Verfahrens. 

In einer Weiterbildung wird zusatzlich in der ersten Com- 
putereinheit ein vertrauenswiirdiger offentlicher Benutzer- 
schliissel der ersten Computereinheit z. B . in Form eines Be- 5 
nutzerzertifikats verfugbar gemacht und in der zweiten 
Computereinheit wird ein vertrauenswiirdiger offentlicher 
Netzschliissel der zweiten Computereinheit z. B. in Form ei- 
nes Netzzertifikats verfugbar gemacht. Der offentliche 
Netzschliissel muB bei dieser Weiterbildung nicht in der er- 10 
sten Computereinheit verfugbar sein. 

In einer weiteren Ausgestaltung ist es nicht notig, daB der 
offentliche Benutzerschliissel in der zweiten Computerein- 
heit verfugbar ist. 

GemaB einer weiteren Ausgestaltung ist in der ersten 15 
Computereinheit kein vertrauenswiirdiger offentlicher Netz- 
schliissel der zweiten Computereinheit erforderlich. In der 
ersten Computereinheit ist ein vertrauenswiirdiger offentli- 
cher Zertifizierungsschliissel der Zertifizierungscomputer- 
einheit verfugbar. Dies bedeutet, daB die erste Computerein- 20 
heit sich den vertrauenswiirdigen offentlichen Netzschliissel 
in Form eines Netzzertifikats von einer Zertifizierungscom- 
putereinheit "besorgen" muB. Ebenso braucht die zweite 
Computereinheit den vertrauenswiirdigen offentlichen Be- 
nutzerschiissel in Form eines Benutzerzertifikats von der 25 
Zertifizierungscomputereinheit. 

Durch die Weiterbildungen der Erfindung gemaB den Pa- 
tentanspriichen 13, 15 und 20 wird das Sicherheitsziel der 
Benutzeranonymitat realisiert, d. h. die Vertraulichkeit der 
Identitat des Benutzers gegeniiber Dritten. 30 

Die Weiterbildung des erfindungsgemaBen Verfahrens ge- 
maB Patentanspruch 15 ermoglicht die Verwendung von 
temporaren Benutzeridentitaten. 

Durch die Weiterbildung des Verfahrens gemaB Patentan- 
spruch 1 6 wird vor allem eine zusatzliche Authentifizierung 35 
der zweiten Computereinheit gcgcniibcr der ersten Compu- 
tereinheit gewahrleistet. 

Durch die Weiterbildung gemaB Patentanspruch 18 wird 
das Sicherheitsziel der Zusicherung der frische (Aktualitat) 
des Sitzungsschliissels fur das Netz realisiert. 40 

Durch die Weiterbildung gemaB Patentanspruch 21 wird 
zusatzlich das Sicherheitsziel der Nichtabstreitbarkeit von 
Daten realisiert, die vom Benutzer an das Netz gesendet 
wurden. 

Die Zeichnungen stellen bevorzugte Ausfiihrungsbei- 45 
spiele der Erfindung dar, die im folgenden naher beschrie- 
ben werden. 

Es zeigen 

Fig. 1 ein Ablaufdiagrarnm, das ein erstes Ausfiihrungs- 
bei spiel des Verfahrens mit einigen Weiterbildungen dar- 50 
stellt; 

Fig. 2 ein Ablaufdiagrarnm, das ein zweites Ausfuhrungs- 
beispiel des Verfahrens mit einigen Weiterbildungen dar- 
stellt; 

Fig. 3 ein Ablaufdiagrarnm, das cin drittcs Ausfuhrungs- 55 
beispiel des Verfahrens mit einigen Weiterbildungen dar- 
stellt. 

Erstes Ausfiihrungsbeispiel 

60 

In Fig. 1 ist durch eine Skizze der Ablauf des Verfahrens 
dargestellt. Das Verfahren betrifft den Austausch kryptogra- 
phischer Schliissel zwischen einer ersten Computereinheit U 
und einer zweiten Computereinheit N, wo bei unter der er- 
sten Computereinheit U eine Computereinheit eines Benut- 65 
zers eines Mobilfunknetzes zu verstehen ist und unter einer 
zweiten Computereinheit N eine Computereinheit des Netz- 
betreibers eines Mobilfunksystems zu verstehen ist. 



795 A 1 

6 

Fiir das Verfahren wird vorausgesetzt, daB in der ersten 
Computereinheit U ein vertrauenswiirdiger offentlicher 
Netzschliissel g s der zweiten Computereinheit N verfugbar 
ist und daB in der zweiten Computereinheit N ein vertrau- 
enswiirdiger offentlicher Benutzerschliissel KU der ersten 
Computereinheit U verfugbar ist, wobei g ein erzeugendes 
Element einer endlichen Gruppe ist. 

In der ersten Computereinheit U wird eine erste Zufalls- 
zahl t generiert (Schritt 101). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U ein erster Wert g fc 
gebildet (Schritt 102) 

Nach der Berechnung des ersten Werts g t wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g t 
aufweist. Die erste Nachricht Ml wird von der ersten Com- 
putereinheit U an die zweite Computereinheit N iibertragen 
(Schritt 103). 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert. Die erste Nachricht Ml kann auch fiber 
einen unsicheren Kanal, also auch iiber eine Luftschnitt- 
stelle, unverschliisselt iibertragen werden, da die Logarith- 
mierung des ersten Wertes g z nicht in vertretbarer Zeit 
durchgefiihrt werden kann. 

In der zweiten Computereinheit N wird eine zweite Zu- 
fallszahl r generiert (Schritt 104). Durch diesen zusatzlichen 
Verfahrens schritt wird ein zusatzliches Sicherheitsziel reali- 
siert: die Zusicherung der Frische (Aktualitat) eines im fol- 
genden beschriebenen Sitzungsschliissels K fiir die zweite 
Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe einer er- 
sten Hash-Fun kti on hi ein Sitzungs schliissel X gebildet 
(Schritt 105). Als eine erste EingangsgroBe der ersten Hash- 
Funktion hi wird mindestens ein erster Term verwendet. 
Der erste Term wird gebildet, indem der erste Wert g L poten- 
ziert wird mit einem geheimen Netzschliissel s. 

Wcnn die zweite Zufallszahl r verwendet wird, so wcist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 
satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
A gebildet (Schritt 106). Zur Bildung der Antwort A sind 
verschiedene Varianten vorgesehen. So ist es z. B. moglich, 
daB mit dem Sitzungsschliissel K unter Verwendung einer 
Verschlusselungsfunktion Enc eine Konstante const, sowie 
eventuell weitere GroBen, verse hliisselt wird. Die Konstante 
const ist sowohl der ersten Computereinheit U als auch der 
zweiten Computereinheit N bekannt. Auch die Verschlussel- 
ungsfunktion Enc ist sowohl der zweiten Computereinheit N 
als auch der ersten Computereinheit U als die in dem Ver- 
fahren zu verwendende Verschlusselungsfunktion bekannt. 

Eine weitere Moglichkeit, die Antwort. A zu bilden 
(Schritt 106) liegt darin, daB der Sitzungsschliissel K, sowie 
eventuell vorgebbare weitere GroBen, z. B. eine Identitats- 
angabe idN der zweiten Computereinheit N und/oder die 
zweite Zufallszahl als EingangsgroBe fiir eine zweite Hash- 
Funktion h2 verwendet wird und der "gchashtc" Wert des 
Sitzungsschliissels K, sowie eventuell der weiteren GroBen, 
als Antwort A verwendet wird. 

Eine Aneinanderreihung der zweiten Zufallszahl r, der 
Antwort A, sowie ein optionales erstes Datenfeld datl bil- 
den eine zweite Nachricht M2. Das optionale erste Daten- 
feld datl ist nur in der zweiten Nachrichten M2 enthalten, 
wenn dies in dem Verfahren vorgesehen ist. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U iiber- 
tragen (Schritt 107). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die erste Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
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tionale erste Datenfeld datl zur Verfiigung hat. Die Lange 
des optionalen ersten Datenfeldes datl kann beliebig groB 
sein, d. h. es ist auch moglich, daB das optionale erste Daten- 
feld datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der 5 
Sitzungsschliissel K gebildet (Schritt 108), rnit Ililfe der er- 
sten Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N als auch der ersten Computereinheit U bekannt ist. 
Eine zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels K in der ersten Computer- 10 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wird gebildet aus einer Exponentation eines 6f- 
fentlichen Netzschliissels g s mit der ersten Zufallszahl t. 
Wenn die Verwendung der zweiten Zufallszahl r in dem Ver- 
fahren zur Berechnung des Sitzungsschliissels K vorgesehen 15 
wird, so weist die zweite EingangsgroBe der ersten Hash- 
Funktion hi zur Bildung des Sitzungsschliissels K in der er- 
sten Computereinheit U zusatzlich die zweite Zufallszahl r 
auf. 

Durch die Verwendung der ersten Zufallszahl t und der 20 
zweiten Zufallszahl r bei der Generierung des Sitzungs- 
schliissels K wird die Aktualitat des Sitzungsschliissels K 
gewahrleistet, da jeweils die erste Zufallszahl t als auch die 
zweite Zufallszahl r nur fur jeweils einen Sitzungsschliissel 
K verwendet werden. Somit wird eine Wiedereinspielung 25 
eines alteren Schlussels als Sitzungsschliissel K verhindert. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der empfangenen 
Antwort A iiberpriift, ob der in der ersten Computereinheit 
U gebildete Sitzungsschliissel K mit dem Sitzungsschliissel 30 
K, der in der zweiten Computereinheit N gebildet. wurde, 
ubereinstimmt (Schritt 109). Abhangig von den im vorigen 
beschriebenen Varianten zur Bildung der Antwort A sind 
verschiedene Moglichkeiten vorgesehen, den Sitzungs- 
schliissel K anhand der Antwort A zu iiberpriifen. 35 

Eine Moglichkcit bcstcht darin, daB, wenn die Antwort A 
in der zweiten Computereinheit N durch Verschltisselung 
der Konstante const, sowie eventuell weitere GroBen, mit 
dem Sitzungsschliissel K unter Verwendung der Verschliis- 
selungsfunktion Enc gebildet wurde, die Antwort A ent- 40 
schlusselt wird, und somit die erste Computereinheit U eine 
entschliisselte Konstante const', sowie eventuell vorgebbare 
weitere GroBen, erhalt, die mit der bekannten Konstante 
const, sowie eventuell den weiteren GroBen, verglichen 
wird. 45 

Die Uberpriifung des Sitzungsschliissels K anhand der 
Antwort A kann auch durchgefiihrt w r erden, indem die der 
ersten Computereinheit U bekannte Konstante const, sowie 
eventuell vorgebbare weitere GroBen, mit dem in der ersten 
Computereinheit U gebildeten Sitzungsschliissel K unter 50 
Verwendung der Verschliisselungsfunktion Enc verschliis- 
selt wird und das Ergebnis mit der Antwort A auf Uberein- 
stimmung gepriift wird. Diese Vorgehensweise wird auch 
verwendet, wenn die Antwort A in der zweiten Computer- 
einheit N gebildet wird, indem auf den Sitzungsschliissel K, 55 
sowie eventuell den weiteren GroBen, die zweite Hash- 
Funktion h2 angewendet wird. In diesem Fall wird in der er- 
sten Computereinheit U der in der ersten Computereinheit U 
gebildete Sitzungsschliissel K, sowie eventuell vorgebbare 
weiteren GroBen, als EingangsgroBe der zweiten Hash- 60 
Funktion h2 verwendet. Der "gehashte" Wert des in der er- 
sten Computereinheit U gebildeten Sitzungsschliissels K, 
sowie eventuell weiterer GroBen, wird dann mit der Antwort 
A auf Ubereinstimmung gepriift. Damit wird das Ziel der 
Schliisselbestatigung des Sitzungsschliissels K erreicht. 65 

Dadurch, daB bei der Berechnung des Sitzungsschliissels 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschliissels 
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K in der ersten Computereinheit U der offentliche Netz- 
schliissel g s verwendet werden, wird die zweite Computer- 
einheit N durch die erste Computereinheit U authentifiziert. 
Dies wird erreicht, vorausgesetzt daB fur die erste Compu- 
tereinheit U bekannt ist, daB der offentliche Netzschliissel g s 
tatsachlich zur zweiten Computereinheit N gehort. 

Im AnschluB an die Bestatigung des Sitzungs schlussels K 
durch Uberpriifung der Antwort A wird ein Signaturterm 
berechnet (Schritt 110). Hierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe fiir die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufw r eist, aus denen 
auf den Sitzungsschliissel eindeutig riickgeschlossen wer- 
den kann, enthalt. Weiterhin kann die dritte EingangsgroBe 
das optionale erste Datenfeld datl oder auch ein optionales 
zweites Datenfeld dat2 enthalten, wenn deren Verwendung 
in dem Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g\ der offentliche 
Netzschliissel g s sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummern, die aktuelle Zeit oder ahnliche hierfiir 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fiir eine unanfechtbare Gebiihrenabrechnung verwen- 
det werden. 

Unter Verwendung einer ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Um einen hoheren Sicherheitsgrad zu erzie- 
lcn, kann der Signaturterm vcrschliissclt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 
ter Verwendung der Verschliisselungsfunktion Enc ver- 
schliisselt und bildet den ersten verschliisselten Term VT1. 

AuBerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers" realisiert werden soli, ein zweiter verschliis- 
selter Term VT2 berechnet, in dem eine IdentitatsgroBe 
IMUI der ersten Computereinheit U mit dem Sitzungschliis- 
sel K mit Hilfe der Verschliisselungsfunktion Enc verschliis- 
selt wird. Bei Verwendung eines optionalen zweiten Daten- 
feldes dat2 wird in der ersten Computereinheit U ein dritter 
verschliisselter Term VT3 berechnet, indem das optionale 
zweite Datenfeld dat2 mit dem Sitzungsschliissel K unter 
Verwendung der Verschlusselungsfunktion Enc verschliis- 
selt wird, das optionale zweite Datenfeld dat.2 kann auch un- 
verschliisselt iibertragen werden. 

Die drei verschliisselten Terme konnen auch zu einem 
vierten verschliisselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und optionalcm zw r citcn Datenfeld dat2 mit 
dem Sitzungsschliissel K verschliisselt ist (Schritt 111). 

In der ersten Computereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens den Signatur- 
term und die IdentitatsgroBe EMUI der ersten Computerein- 
heit U aufweist. 

Falls die Anonymitat der ersten Computereinheit U ge- 
wahrleistet werden soli, weist die dritte Nachricht M3 an- 
statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
mindestens entweder den zweiten verschliisselten Term 
VT2 oder den vierten verschliisselten Term VT4 auf, der die 
Information iiber die Identitat der ersten Computereinheit U 
in verschliisselter Form enthalt, die nur von der zweiten 
Computereinheit N entschliisselt werden kann. 
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Wenn die Verwendung des optionalen zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich mindestens den dritten verschliisselten Term VT3 oder 
den vierten verschliisselten Term VT4 oder das optionale 
zweite Datenfeld dat2 im Klartext auf. 5 

Wenn die dritte Nachricht M3 den ersten verschliisselten 
Term VT1, den zweiten verschliisselten Term VT2 oder den 
dritten verschliisselten Term VT3 oder den vierten ver- 
schliisselten Term VT4 enthalt, werden diese in der zweiten 
Computereinheit N entschliisselt. Dies geschieht fur den 10 
eventuell vorhandenen ersten verschliisselten Term VT1 vor 
der Veriflkation des Signaturterms. 

Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zli der zweiten Computereinheit N iibertragen 
(Schritt 112). 15 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterrn gewahrleistet, der die Zufallszahl r 
enthalt, durch deren Verwendung garantiert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 20 
putereinheit U gesendet wurde. 

In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert, entschliisselt und anschlieBend wird an- 
hand eines Benuterzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfiigung stent, der Signaturterrn verifi- 25 
ziert (Schritt 113). 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren um einige Verfahrensschritte erweitert. 

Zuerst muB der zweiten Computereinheit N bekannt ge- 30 
macht werden, welche erste Computereinheit U eine neue 
temporare IdentitatsgroBe TMUIN von der zweiten Compu- 
tereinheit N zugewiesen bekommen soil. 

Hierzu wird als zusatzlicher Bestandteil der ersten Nach- 
richt Ml eine alte temporare IdentitatsgroBe TMUIO von 35 
der ersten Computereinheit U an die zwcitc Computerein- 
heit N iibertragen. 

Nach Empfang der ersten Nachricht Ml ist somit in der 
zweiten Computereinheit N bekannt, fur welche erste Com- 
putereinheit U die neue temporare IdentitatsgroBe TMUIN 40 
bestimmt ist. 

In der zweiten Computereinheit N wird dann die neue 
temporare IdentitatsgroBe TMUIN fur die erste Computer- 
einheit U gebildet. Dies kann z. B. durch Generierung einer 
Zufallszahl oder durch Tabellen, in denen mogliche Identi- 45 
tatsgroBen abgespeichert sind, durchgefiihrt werden. Aus 
der neuen temporaren IdentitatsgroBe TMUIN der ersten 
Computereinheit U wird in der zweiten Computereinheit N 
ein fiinfter verschliisselter Term VT5 gebildet, indem die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 50 
tereinheit U mit dem Sitzungsschliissel K unter Verwendung 
der Verschliisselungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht N2 zusatzlich 
mindestens den fiinften verschliisselten Term VT5 auf. Der 
fiinftc vcrschlusscltc Term VT5 wird dann in der ersten 55 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfiigbar. 

Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 60 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 65 

Da die Information der neuen temporaren IdentitatsgroBe 
TMUIN in dem Signaturterrn in diesem Fall enthalten ist, 
weist die dritte Nachricht M3 nicht mehr die IdentitatsgroBe 
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IMUI der ersten Computereinheit U auf. 

Es ist auch moglich, die neue temporare IdentitatsgroBe 
TMUIN nicht in den Signaturterrn zu integrieren, sondern 
den zweiten verschliisselten Term VT2 zu bilden, indem an- 
statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
die neue temporare IdentitatsgroBe TMUIN mit dem Sit- 
zungsschliissel K unter Verwendung der Verschliisselungs- 
funktion Enc verschliisselt wird. In diesem Fall weist die 
dritte Nachricht M3 zusatzlich den zweiten verschliisselten 
Term VT2 auf. 

Die in dem Verfahren verwendeten Hash-Funktionen, die 
erste Hash-Funktion hi, die zweite Hash-Funktion h2 und 
die dritte Hash-Funktion h3 konnen durch die gleiche, aber 
auch durch verschiedene Hash-Funktionen realisiert wer- 
den. 

Zweites Ausfiihrungsbeispiel 

In Fig. 2 ist durch eine Skizze der Ablauf eines zweiten 
Ausfuhrungsbeispiels des Verfahrens dargestellt. 

Fiir dieses Ausfiihrungsbeispiel des Verfahrens wird vor- 
ausgesetzt, daB in der ersten Computereinheit U ein vertrau- 
enswiirdiger offentlicher Benutzerschliissel KU der ersten 
Computereinheit U in Form eines Benutzerzertifikats CertU 
verfiigbar gemacht wird und daB in der zweiten Computer- 
einheit N ein vertrauenswiirdiger offentlicher Netzschltissel 
g s der zweiten Computereinheit N in Form eines Netzzertifi- 
kats CertN verfiigbar gemacht wird. Der offentliche Netz- 
schliissel g s muB nicht in der ersten Computereinheit U ver- 
fiigbar sein. Ebenso ist es nicht notig, daB der offentliche 
Benutzerschliissel TCU in der zweiten Computereinheit N 
verfiigbar ist. 

In der ersten Computereinheit U wird die erste Zufalls- 
zahl t generiert (Schritt 201). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppc in der ersten Computereinheit U der erste Wert g d 
gebildet (Schritt 202). 

Nach der Berechnung des ersten Werts g c wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g d und 
eine Identities angabe id^A einer Zertifizierungscomputer- 
einheit CA, die das Netzzertifikat CertN liefert, das von der 
ersten Computereinheit U verifiziert werden kann, aufweist. 
Die erste Nachricht Ml wird von der ersten Computerein- 
heit U an die zweite Computereinheit N iibertragen (Schritt 

203) . 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert. 

Wie in Fig. 2 beschrieben, wird in der zweiten Computer- 
einheit N eine zweite Zufallszahl r generiert wird (Schritt 

204) . Durch diesen zusatzlichen Verfahren sschritt wird ein 
zusatzliches Sicherheitsziel realisiert: die Zusicherung der 
Frische (Aktualitat) eines im folgenden beschriebenen Sit- 
zungsschliissels K fiir die zweite Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe der er- 
sten Hash-Funktion hi der Sitzungsschliissel K gebildet 
(Schritt 205). Als erste EingangsgroBe der ersten Hash- 
Funktion hi wird ein erster Term verwendet. Der erste Term 
wird gebildet, indem der erste Wert g t potenziert wird mit 
dem geheimen Netzschliissel s. 

Wenn die zweite Zufallszahl r verwendet wird, so weist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 
satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
A gebildet (Schritt 206). Zur Bildung der Antwort A sind die 
im Rahmen des ersten Ausfuhrungsbeispiels beschriebenen 
Varianten vorgesehen. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des 
Netzzertifikats CertN, der Antwort A, sowie ein optionales 
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erstes Datenfeld datl bilden die zweite Nachricht M2. Das 
option ale erste Datenfeld datl ist nur in der zweiten Nach- 
richt M2 enthalten, wenn dies in dem Verfahren vorgesehen 
ist. 

Die zweite Nachricht M2 wird in der zweiten Computer- 5 
einheit N codiert und zu der ersten Computereinheit u iiber- 
tragen (Schritt 207). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die erste Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 10 
tionale erste Datenfeld datl zur Verfiigung hat. Die Lange 
des optionalen ersten Datenfeldes datl kann beliebig groB 
sein, d. h. es ist auch moglich, daB das optionale erste Daten- 
feld datl nicht vorhanden ist. 

AnschlieBend wird das in der zweiten Nachricht M2 ent- 15 
haltene Netzzertifikat CertN in der ersten Computereinheit 
verifiziert. Somit steht der offentliche Netzschliissel g s in 
der ersten Computereinheit U zur Verfiigung. 

In der ersten Computereinheit U wird nun ebenfalls der 
Sitzungsschliissel K gebildet (Schritt 208), mit Hilfe der er- 20 
sten Hash-Funktion hi, die sowohl in der zweiten Compu- 
tereinheit N als auch in der ersten Computereinheit U be- 
kannt ist. Eine zweite EingangsgroBe der ersten Hash-Funk- 
tion hi zur Bildung des Sitzungsschliissels K in der ersten 
Computereinheit U weist mindestens einen zweiten Term 25 
auf . Der zweite Term wird gebildet aus einer Exponentation 
des offentlichen Netzschliissels g s mit der ersten Zufallszahl 
t. Wenn die Verwendung der zweiten Zufallszahl r in dem 
Verfahren zur Berechnung des Sitzungsschliissels K vorge- 
sehen wird, so weist die zweite EingangsgroBe der ersten 30 
Hash-Funktion hi zur Bildung des Sitzungsschliissels K in 
der ersten Computereinheit U zusatzlich die zweite Zufalls- 
zahl r auf. 

Durch die Verwendung der ersten Zufallszahl t und der 
zweiten Zufallszahl r bei der Generierung des Sitzungs- 35 
schliisscls K wird die Aktualitat des Sitzungsschliissels K 
gewahrleistet, da jeweils die erste Zufallszahl t als auch die 
zweite Zufallszahl r nur fur jeweils einen Sitzungsschliissel 
K verwendet werden. Somit wird eine Wiedereinspielung 
eines alteren Schliissels als Sitzungsschliissel K verhindert. 40 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der empfangenen 
Antwort A iiberpriift, ob der in der ersten Computereinheit 
U gebildete Sitzungsschliissel K mit dem Sitzungsschliissel 
K, der in der zweiten Computereinheit N gebildet wurde, 45 
iibereinstimmt (Schritt 209). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind verschiedene Moglichkei- 
ten vorgesehen, den Sitzungsschliissel K anhand der Ant- 
wort. A zu iiberpriifen . 50 

Zur Uberpriifung der Antwort A sind die im Rahmen des 
ersten Ausfiihrungsbeispiels beschriebenen Varianten vor- 
gesehen. Damit wird das Ziel der Schliisselbestatigung des 
Sitzungsschliissels K erreicht. 

Dadurch, daB bei der Berechnung des Sitzungsschliissels 55 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschliissels 
K in der ersten Computereinheit U der offentliche Netz- 
schliissel g s verwendet werden, wird die zweite Computer- 
einheit N durch die erste Computereinheit U authentifiziert. 60 
Dies wird erreicht, vorausgesetzt daB fur die erste Compu- 
tereinheit U bekannt ist, daB der offentliche Netzschliissel g s 
tatsachlich zur zweiten Computereinheit N gehort. 

Im AnschluB an die Bestatigung des Sitzungsschliissels K 
durch Uberpriifung der Antwort A wird der Signaturterm 65 
berechnet (Schritt 210). Hierzu wird mit Hilfe der dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
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Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufw r eist, aus denen 
auf den Sitzungsschliissel eindeutig riickgeschlossen wer- 
den kann. Weiterhin kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein optionales zweites 
Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g\ der offentliche 
Netzschliissel g s sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummera, die aktuelle Zeit oder ahnliche hierfiir 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fiir eine unanfechtbare Gebiihrenabrechnung verwen- 
det werden. 

Unter Verwendung einer ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Um einen hoheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 
ter Verwendung der Verschliisselungsfunktion Enc ver- 
schliisselt und bildet den ersten verschliisselten Term VT1. 

AuBerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers" realisiert werden soil, ein zweiter verschliis- 
selter Term VT2 berechnet, in dem ein Benutzerzertifikat 
CertU der ersten Computereinheit U mit dem Sitzungschliis- 
sel K mit Hilfe der Verschliisselungsfunktion Enc verschliis- 
selt wird. Bei Verwendung eines optionalen zweiten Daten- 
feldes dat2 kann in der ersten Computereinheit U ein dritter 
vcrschliisscltcr Term VT3 berechnet werden, indem das op- 
tionale zweite Datenfeld dat2 mit dem Sitzungsschliissel K 
unter Verwendung der Verschliisselungsfunktion Enc ver- 
schliisselt wird. Das optionale zweite Datenfeld dat2 kann 
ebenso un verschliisselt iibertragen werden. 

Die drei verschliisselten Terme konnen auch zu einem 
vierten verschliisselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und optionalem zweiten Datenfeld dat2 mit K 
verschliisselt ist (Schritt 211). 

In der ersten Computereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens den Signatur- 
term und das Benutzerzertifikat CertU der ersten Computer- 
einheit U aufweist. Falls die Benutzer anonymitat der ersten 
Computereinheit U gewahrleistet werden soli, weist die 
dritte Nachricht M3 anstatt des Benutzerzertifikats CertU 
der ersten Computereinheit U mindestens entweder den 
zweiten verschliisselten Term VT2 oder den vierten ver- 
schliisselten Term VT4 auf, der das Benutzerzertifikat CertU 
der ersten Computereinheit U in vcrschliisscltcr Form cnt- 
halt, die nur von der zweiten Computereinheit N entschliis- 
selt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich mindestens den dritten verschliisselten Term VT3 oder 
den vierten verschliisselten Term VT4 auf. Wenn die dritte 
Nachricht M3 den ersten verschliisselten Term VT1, den 
zweiten verschliisselten Term VT2 oder den dritten ver- 
schliisselten Term VT3 oder den vierten verschliisselten 
Term VT4 aufweist, werden diese in der zweiten Computer- 
einheit N entschliisselt. Dies geschieht fiir den eventuell 
vorhandenen ersten verschliisselten Term VT1 vor der Veri- 
fikation des Signaturterms. 
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Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zu der zweiten Computereinheit N iibertragen 
(Schritt 212). 

In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert, entschliisselt und anschlieBend wird an- 5 
hand eines Benuterzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfiigung stent, der Signaturterm verifi- 
ziert (Schritt 213). 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 10 
durch den Signaturterm gewahrleistet, der die Zufailszahl r 
enthalt, durch deren Verwendung garantiert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 
putereinheit U gesendet wurde. 

Wenn fur das Verfahren temporare Benutzeridentitaten 15 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren um einige Verfahrensschritte erweitert. 

In der zweiten Computereinheit N wird fur die erste Com- 
putereinheit U eine neue temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 20 
gewiesen wird. Dies kann durch Generierung einer Zufails- 
zahl oder durch Tabellen, in denen mogliche Identitatsgro- 
Ben abgespeichert sind, durchgefiihrt werden. Aus der neuen 
temporaren IdentitatsgroBe TMUIN der ersten Computer- 
einheit U wird in der zweiten Computereinheit N ein funfter 25 
verschliisselter Term VT5 gebildet, indem die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
mit dem Sitzungs senilis sel K unter Verwendung der Ver- 
schliisselungsfunktion Enc ver senilis selt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 30 
mindestens den fiinften verschliisselten Term VT5 auf. Der 
fiinfte verschliisselte Term VT5 wird dann in der ersten 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 35 

Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 40 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Es ist auch moglich, die neue temporare IdentitatsgroBe 
TMUIN nicht in den Signaturterm zu integrieren, sondern 
den zweiten verschliisselten Term VT2 zu bilden, indem die 45 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U mit dem Sitzungsschliissel K unter Verwendung 
der Verschliisselungsfunktion Enc verschliisselt wird. In 
diesem Fall weist die dritte Nachricht M3 zusatzlich den 
zweiten verschliisselten Term VT2 auf. 50 

Drittes Ausfiihrungsbeispiel 

In Fig. 3 ist durch eine Skizze der Ablauf eines dritten 
Ausfiihrungsbcispicls dargcstcllt. 55 

Fur dieses Ausfiihrungsbeispiel des Verfahrens wird vor- 
ausgesetzt, daB in der ersten Computereinheit U kein ver- 
trauenswiirdiger offentlicher Netzschliissel g s der zweiten 
Computereinheit N verfugbar ist. In der ersten Computer- 
einheit U ist ein vertrauenswiirdiger offentlicher Zertifizie- 60 
rungsschliissel cs einer Zertifizierungscomputereinheit CA 
verfugbar. Dies bedeutet, daB die erste Computereinheit U 
sich den vertrauenswiirdigen offentlichen Netzschliissel g s 
in Form eines Netzzertilikats CertN von der Zertifizierung- 
scomputereinheit CA "besorgen" muB. Ebenso braucht die 65 
zweite Computereinheit N den vertrauenswiirdigen offentli- 
chen Benutzerschiissel KU in Form eines Benutzerzertifi- 
kats CertU von der Zertifizierungscomputereinheit CA. 
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In der ersten Computereinheit U wird die erste Zufails- 
zahl t generiert (Schritt 301). Aus der ersten Zufailszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U der erste Wert g t 
gebildet (Schritt 302). 

Nach der Berechnung des ersten Werts g t wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g', 
eine IdentitatsgroBe IMUI der ersten Computereinheit U 
und eine IdentitatsgroBe idc A einer Zertifizierungscompu- 
tereinheit CA, die ein Netzzertifikat CertN liefert, das von 
der ersten Computereinheit U verifiziert werden kann, auf- 
weist. Dies ist notig, wenn mehrere Zertifizierungsinstanzen 
mit unterschiedlichen geheimen Zertifizierungsschliisseln 
vorgesehen werden. Wenn das Sicherheitsziel der Benutze- 
ranonymitat realisiert werden soil, wird in der ersten Com- 
putereinheit U vor Bildung der ersten Nachricht Ml ein 
Zwischenschliissel L gebildet. Dies geschieht durch Poten- 
zierung des offentlichen Schlusselvereinbamngs senilis sels 
g u der Zertifizierungscomputereinheit CA, der in der ersten 
Computereinheit U verfugbar ist, mit der ersten Zufailszahl 
t. Im weiteren wird in diesem Fall die IdentitatsgroBe IMUI 
der ersten Computereinheit U mit dem Zwischenschliissel L 
unter Anwendung einer Verschliisselungsfunktion Enc ver- 
schliisselt und das Ergebnis stellt einen fiinften verschliissel- 
ten Term VT5 dar. Der fiinfte verschliisselte Term VT5 wird 
anstatt der IdentitatsgroBe IMUI der ersten Computereinheit 
U in die erste Nachricht Ml integriert. Die erste Nachricht 
Ml wird von der ersten Computereinheit u an die zweiten 
Computereinheit N iibertragen (Schritt 303). 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert, und eine vierte Nachricht M4 gebildet 
(Schritt 304), die eine Verkettung des der zweiten Compu- 
tereinheit N bekannten Zertifikats CertN auf den offentli- 
chen Netzschliissel g s , dem ersten Wert g L und der Identitats- 
groBe IMUI der ersten Computereinheit U aufweist. In dem 
Fall, daB das Sicherheitsziel der Bcnutzcranonymitat reali- 
siert werden soil, wird in der vierten Nachricht M4 anstatt 
der IdentitatsgroBe IMUI der ersten Computereinheit U der 
fiinfte verschliisselte Term VT5 codiert. 

Die vierte Nachricht M4 wird in der zweiten Computer- 
einheit N codiert und anschlieBend an die Zertifizierung- 
scomputereinheit CA iibertragen (Schritt 304). 

In der Zertifizierungscomputereinheit CA wird die vierte 
Nachricht M4 decodiert. 

AnschlieBend wird, falls die Benutzeranonymitat gewahr- 
leistet wird, also der fiinfte verschliisselte Term VT5 in der 
vierten Nachricht M4 mitgesendet wurde, in der Zertifizie- 
rungscomputereinheit CA der Zwischenschliissel L berech- 
net, indem der erste Wert g l mit einem geheimen Schliissel- 
vereinbarungsschliissel u der Zertifizierungscomputerein- 
heit CA potenziert wird. 

Mit dem Zwischenschliissel L wird unter Verwendung der 
Verschliisselungsfunktion Enc der fiinfte verschliisselte 
Term VT5 entschliisselt, womit in der Zertifizierungscom- 
putereinheit CA die IdentitatsgroBe IMUI der ersten Com- 
putereinheit U bekannt ist. 

In der Zertifizierungscomputereinheit CA wird dann das 
Benutzerzertifikat CertU ermittelt. Das Benutzerzertifikat 
CertU wird aus einer der Zertifizierungscomputereinheit C A 
eigenen Datenbank ermittelt, die alle Zertifikate der Compu- 
tereinheiten enthalt, fiir die die Zertifizierungscomputerein- 
heit CA Zertifikate erstellt. 

Um die Giiltigkeit des Netzzertifikats CertN und des Be- 
nutzerzertifikats CertU zu iiberpriifen, wird eine Identitats- 
angabe id N der Netzcomputereinheit N und der in der vier- 
ten Nachricht mitgesendete offentliche Netzschliissel g s , die 
IdentitatsgroBe IMUI der ersten Computereinheit U sowie 
das ermittelte Benutzerzertifikat CertU mit einer Revokati- 
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onsliste verglichen, in der ungiiltige Zertifikate, Schliissel 
oder IdentitatsgroBen aufgefuhrt sind. 

AnschlieBend bildet die Zertifizierungscomputereinheit 
CA drei Ketten von Zertifikaten, eine erste Zertifikatskette 
CertChain (U, N), eine zweite Zertifikatskette CertChain (N, 5 
U) sowie eine dritte Zertifikatskette CertChain (N, CA). 

Die erste Zertifikatskette CertChain (U, N) kann von der 
ersten Computereinheit U mittels des der ersten Computer- 
einheit U bekannten offentlichen Zertifizierungsschliissels 
der Zertifizierungscomputereinheit CA verifiziert werden 10 
und enthalt ais letztes Glied ein Zertifikat CertN auf den of- 
fentlichen Schliissel g s von der zweiten Computereinheit N. 

Die zweite Zertifikatskette CertChain (N, U) kann von der 
zweiten Computereinheit N verifiziert werden und enthalt 
als letztes Glied ein Zertifikat CertU auf den offentlichen 15 
Schliissel KU von der ersten Computereinheit U. 

Die dritte Zertifikatskette CertChain (N, CA) kann von 
der zweiten Computereinheit N verifiziert werden und ent- 
halt als letztes Glied ein Zertifikat auf den offentlichen Veri- 
fikationsschliissels von der Zertifizierungscomputereinheit 20 
CA. 

Die erste Zertifikatskette CertChain (U, N) und die zweite 
Zertifikatskette CertChain (N, U) konnen eindeutig identifi- 
ziert werden durch die Identifikatoren cidU und cidN. 

AnschlieBend wird aus mindestens einer Verkettung des 25 
ersten Werts g t und der Identifikatoren cidU und cidN ein 
dritter Term gebildet. 

Der dritte Term wird mit Hilfe einer vierten Hash-Funk- 
tion h4 "gehasht" und das Ergebnis der Hash-Funktion h4 
wird unter Verwendung einer dritten S ignaturf unktion S igcA 30 
signiert. 

Weiterhin wird in der Zertifizierungscomputereinheit CA 
ein Zeitstempel TS kreiert. Dieser findet optional Eingang in 
den dritten Term. 

Eine in der Zertifizierungscomputereinheit CA gebildete 35 
fiinfte Nachricht M5 wcist mindestens cine Verkettung aus 
dem signierten dritten Term und den Zertifikatsketten Cert- 
Chain (U, N) und CertChain (N, U) sowie optional den Zeit- 
stempel TS und die Zertifikatskette CertChain (N, CA) auf. 
Optional werden der signierte I lash- Wert des dritten Terms 40 
sowie die Zertifikatskette CertChain (N, U) mit dem Zwi- 
schenschliissel L verschliisselt. 

Die fiinfte Nachricht M5 wird in der Zertifizierungscom- 
putereinheit CA codiert und an die zweite Computereinheit 
N ubertragen (Schritt 305). Nachdem die fiinfte Nachricht 45 
M5 in der zweiten Computereinheit N decodiert ist, wird der 
signierte Hash- Werts des dritten Terms verifiziert, sofern er 
nicht mit L verschliisselt ist. 

In der zweiten Computereinheit N wird nun ein vierter 
Term gebildet, der mindestens eine Verkettung der Zertifi- 50 
katskette CertChain (U, N) und des (optional mit dem Zwi- 
schenschliissel L verschlusseiten) signierten Hash- Werts des 
dritten Terms aufweist. 

In der zweiten Computereinheit N wird mit Hilfe der er- 
sten Hash-Funktion hi ein Sitzungsschliisscl K gebildet. Als 55 
eine erste EingangsgroBe der ersten Hash-Funktion hi wird 
eine Kokatenation eines ersten Terms mit der zweiten Zu- 
fallszahl r verwendet. Der erste Term wird gebildet, indem 
der erste Wert g l potenziert wird mit einem geheimen Netz- 
schliissel s. Die zweite Zufallszahl r findet Verwendung, 60 
wenn das zusatzliche Sicherheitsziel der Zusicherung der 
Frische (Aktualitat) des Sitzungsschliissels K fur die zwei- 
ten Computereinheit N realisiert werden soli. Ist dieses Si- 
cherheitsziel nicht benotigt, wird die zweite Zufallszahl r 
nicht in dem Verfahren zur Berechnung des Sitzungsschlus- 65 
sels K verwendet. 

In der zweiten Computereinheit N wird eine Antwort A 
gebildet. Zur Bildung der Antwort A sind die in dem ersten 
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Ausfiihrungsbeispiel beschriebenen Varianten vorgesehen. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des 
vierten Terms, der Antwort A, sowie eines optionalen ersten 
Datenfeldes datl und des optionalen Zeitstempels bilden 
eine zweite Nachricht M2. Das optionale erste Datenfeld 
datl ist nur in der zweiten Nachricht M2 enthalten, wenn 
dies in dem Verfahren vorgesehen wird. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U uber- 
tragen (Schritt 306). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die ersten Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl und eventuell den Zeitstempel 
TS zur Verfiigung hat. Die Lange des optionalen ersten Da- 
tenfeldes datl kann beliebig groB sein, d. h. es ist auch mog- 
lich, daB das optionale erste Datenfeld datl nicht vorhanden 
ist. 

In der ersten Computereinheit U wird nun ebenfalls der 
Sitzungsschliissel K gebildet (Schritt 307), mit Hilfe der er- 
sten Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N als auch der ersten Computereinheit U bekannt ist. 
Eine zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels K in der ersten Computer- 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wird gebildet aus einer Exponentation eines of- 
fentlichen Netzschliissels g s mit der ersten Zufallszahl t. 
Wenn die zweite Zufallszahl r in dem Verfahren zur Berech- 
nung des Sitzungsschliissels K vorgesehen wird, so weist 
die zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels TC in der ersten Computer- 
einheit U zusatzlich die zweite Zufallszahl r auf. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der empfangenen 
Antwort A iiberpriift, ob der in der ersten Computereinheit 
U gebildete Sitzungsschliisscl K mit dem Sitzungsschliisscl 
K, der in der zweiten Computereinheit N gebildet wurde, 
iibereinstimmt (Schritt 308). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind die oben beschriebenen 
Moglichkeiten vorgesehen, den Sitzungsschliissel K anhand 
der Antwort A zu uberpriifen. 

Dadurch, daB bei der Berechnung des Sitzungsschliissels 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschliissels 
K in der ersten Computereinheit U der offentliche Netz- 
schliissel g s verwendet werden, wird die zweiten Computer- 
einheit N durch die ersten Computereinheit U authentifi- 
ziert. Dies wird erreicht, vorausgesetzt daB fur die erste 
Computereinheit U bekannt ist, daR der offentliche Netz- 
schliissel g s tatsachlich zur zweiten Computereinheit N ge- 
hort. Letzteres wird von U erreicht durch die Verifikation 
der Zertifikatskette CertChain (U, N) sowie des signierten 
Hashwerts des dritten Terms. Ist letzterer mit dem Zwi- 
schcnschliisscl L verschliisselt, muB cr vor der Verifikation 
mit dem Zwischenschliissel L entschltisselt werden. 

Im AnschluB an die Bestatigung des Sitzungsschliissels K 
durch Uberpriifung der Antwort A wird ein Signaturterm 
berechnet (Schritt 309). Ilierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe ftir die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschliissel eindeutig riickgeschlossen wer- 
den kann. Weiterhin kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein optionales zweites 
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Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g\ der offentliche 
Netzschliissel g s sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 5 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 10 
nen Telefonnummern, die aktuelle Zeit oder ahnliche hierfiir 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fur eine unanfechtbare Gebiihrenabrechnung verwen- 
det werden. 

Unter Verwendung einer ersten Signaturfunktion Sigu I 5 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Urn einen hoheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 
ter Verwendung der Verschliisselungsfunktion Enc ver- 20 
schliisselt und bildet den ersten verschliisselten Term VT1. 

Bei Verwendung eines optionalen zweiten Datenfeldes 
dat2 wird in der ersten Computereinheit U ein dritter ver- 
schliisselter Term VT3 berechnet, indem das optionale 
zweite Datenfeld dat2 mit dem Sitzungsschliissel K unter 25 
Verwendung der Verschliisselungsfunktion Enc verschliis- 
selt wird. Das optionale zweite Datenfeld dat2 kann auch 
unverschliisselt, also im Klartext iibertragen werden. 

Alternativ zur Bildung des ersten und des dritten ver- 
schliisselten Terms VT1 und VT3 kann auch ein vierter ver- 30 
schliisselten Term VT4 gebildet werden, indem mindestens 
die Verkettung des Signaturterms sowie optional des Daten- 
feldes dat2 und des Zwischenschliissels L mit dem Sitzungs- 
schliissel K verschliisselt wird (Schritt 310). 

In der ersten Computereinheit U wird eine dritte Nach- 35 
richt M3 gebildet und codicrt, die mindestens aus dem er- 
sten verschliisselten Term VT1, und, wenn das optionale 
zweite Datenfeld dat2 verwendet wird, dem dritten ver- 
schliisselten Term VT3 oder dem optionalen zweiten Daten- 
feld dat2 im Klartext, oder aber aus dem vierten verschliis- 40 
selten Term VT4 besteht. 

Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zu der zweiten Computereinheit N iibertragen 
(Schritt 311). 

In der zweiten Computereinheit N wird die dritte Nach- 45 
richt M3 decodiert und anschlieBend wird der erste ver- 
schliisselte Term VT1 sowie eventuell der dritte verschliis- 
selte Term VT3, oder aber der vierte verschliisselte Term 
VT4 entschliisselt. Wurden Teile der Nachricht M5 mit L 
verschliisselt, so kann nun die zweite Computereinheit N 50 
mit Hilfe des in Nachricht M3 empfangenen Zwischen- 
schliissels L die verschliisselten Teile der Nachricht M5 ent- 
schliisseln. Daraufhin kann die zweite Computereinheit N 
die zweite Zertiflkatskette Cert (N, U) sowie den signierten 
Hashwcrt des dritten Terms unter Anwcndung des offcntli- 55 
chen Verifikationsschliissels von CA verifizieren. Anhand 
des Benutzerzertifikats CertU, das der zweiten Computer- 
einheit N nun zur Verfiigung steht, wird der Signaturterm 
verifiziert. 

Zusatzlich wird die Authentifikation der ersten Compu- 60 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm in der dritten Nachricht M3 gew r ahr- 
leistet, der die Zufallszahl r enthalt, durch deren Verwen- 
dung auch garantiert wird, daB die dritte Nachricht M3 tat- 
sachlich aktuell von der ersten Computereinheit U gesendet 65 
wurde. 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
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Verfahren urn einige Verfahrensschritte erweitert. 

In der zweiten Computereinheit N wird fur die erste Com- 
putereinheit U eine neue temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 
gewiesen wird. Dies kann z. B. durch Generierung einer Zu- 
fallszahl oder durch Tabellen, in denen mogliche Identitats- 
groBen abgespeichert sind, durchgefiihrt werden. Aus der 
neuen temporaren IdentitatsgroBe TMUIN der ersten Com- 
putereinheit U wird in der zweiten Computereinheit N ein 
fiinfter verschliis selter Term VT5 gebildet, indem die neue 
temporare IdentitatsgroBe TMUIN der ersten Computerein- 
heit U mit dem Sitzungsschliissel K unter Verwendung der 
Verschliisselungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 
mindestens den fiinften verschliisselten Term VT5 auf Der 
fiinfte verschliisselte Term VT5 wird dann in der ersten 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfiigbar. 

Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fiir die zweite Hash-Funktion h2 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Im weiteren werden einige Alternativen der oben be- 
schriebenen Ausfiihrungsbeispiele aufgezeigt: 

Die Erfindung beschrankt sich nicht auf ein Mobilfunksy- 
stem und somit auch nicht auf einen Benutzer eines Mobil- 
funksystems und das Netz, sondern kann in alien Bereichen 
angewendet werden, in denen ein kryptographischer Schliis- 
selaustausch zwischen zwei Kommunikationspartnern be- 
notigt wird. Dies kann z. B. in einer Kommunikationsbezie- 
hung zwischen zwei Rechnern, die Daten in verschliis selter 
Form austauschen wollcn, der Fall sein. Ohnc Bcschran- 
kung der Allgemeingiiltigkeit wurde oben ein erster Kom- 
munikationspartner als erste Computereinheit U und ein 
zweiter Kommunikationspartner als zweite Computerein- 
heit N bezeichnet. 

Im Rahmen dieses Dokuments wurden folgende Verof- 
fentlichungen zitiert: 

[I] A. Aziz, W. Diffie, "Privacy and Authentication for Wi- 
reless Local Area Networks", FEEE Personal Communicati- 
ons, 1994, S. 25 bis 31 

[2] M. Beller, "Proposed Authentication and Key Agree- 
ment Protocol for PCS " , Joint Experts Meeting on Privacy 
and Authentication for Personal Communications, P&A 
JEM 1993, 1993, S. Ibis 11 

[3] C. Carroll, Y. Frankel, Y. Tsiounis, "Efficient key distri- 
bution for slow computing devices", Conference Security & 
Privacy, Oakland, 1998 

[4] J. Zhou, K. Lam, "Undeniable billing in mobile commu- 
nications", preprint 1998 
[5] US 5 214 700 

[6] DE-Broschiire: Telesec. Telekom, Produktentwicklung 
Telesec beim Fernmeldeamt Siegen, S. 12-13 
[7] US 5 222 140 
[8] US 5 153 919 

[9] M. Beller et al, Privacy and Authentication on a Portable 
Communication System, FEEE Journal on Selected Areas in 
Communications, Vol. 11, No. 6, S. 821-829, 1993 
[10] DE 195 18 5465 CI 

[II] W. Diffie, P. C. van Oorschot, M. Wiener, "Authentica- 
tion and authenticated key exchanges", Designs, Codes and 
Cryptography, Vol. 2, S. 107-125, 1992. 
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Patentanspriiche 

1. Verfahren zum rechnergestiitzten Austausch krypto- 
graphischer Schliissel zwischen einer ersten Computer- 
einheit (U) und einer zweiten Computereinheit (N), 5 

- bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer endli- 
chen Gruppe in der ersten Computereinheit (U) 
ein erster Wert (g l ) gebildet wird, 

- bei dem eine erste Nachricht (Ml) von der er- 10 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die ersten 
Nachricht (Ml) mindestens den ersten Wert (g 1 ") 
aufweist, 

- bei dem in der zweiten Computereinheit (N) ein 15 
Sitzungsschliissel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet wird, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweist, der gebildet 
wird durch eine Exponentiation des ersten Werts 20 
(g l ) mit einem geheimen Netzschliissel (s), 

- bei dem in der ersten Computereinheit (U) der 
Sitzungsschliissel (K) gebildet wird mit Hilfe der 
ersten Hash-Funktion (hi), wobei eine zweite 
EingangsgroBe der ersten Hash-Funktion (hi) 25 
mindestens einen zweiten Term aufweist, der ge- 
bildet wird durch eine Exponentiation eines 6f- 
fentlichen Netzschliissels (g s ) mit der ersten Zu- 
fallszahl (t), 

- bei dem in der ersten Computereinheit (U) mit 30 
Hilfe einer zweiten Hash-Funktion (h2) oder der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fur die erste Hash-Funktion (hi) oder fur 
die zweite Hash-Funktion (h2) zur Bildung der 35 
vicrtcn EingangsgrdBc cine oder wcitcrc GroBen 
aufweist, aus denen auf den Sitzungsschliissel ein- 
deutig riickgeschlossen werden kann. 

- bei dem in der ersten Computereinheit (U) ein 
Signaturterm aus mindestens der vierten Ein- 40 
gangsgroBe gebildet wird unter Anwendung einer 
ersten Signaturfunktion (Sigu), 

- bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die dritte 45 
Nachricht (M3) mindestens den Signaturterm der 
ersten Computereinheit (U) aufweist, und 

- bei dem in der zweiten Computereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, bei dem der geheime 50 
Netzschliissel und/oder der offentliche Netzschliissel 
langlebige Schliissel ist/sind. 

3. Verfahren nach Anspruch 1 oder 2, bei dem die 
dritte EingangsgroBe mehrere GroBen aufweist, aus de- 
nen auf den Sitzungsschliissel cindcutig riickgcschlos- 55 
sen werden kann. 

4. Verfahren nach einem der Anspriiche 1 bis 3, bei 
dem die GroBe bzw. die GroBen mindestens zumindest 
den ersten Wert (g c ) und/oder den offentlichen Netz- 
schliissel (g s ) enthalt bzw. enthalten. 60 

5. Verfahren nach einem der Anspriiche 1 bis 4, 

- bei dem die erste Nachricht (Ml) eine Identi- 
ties angabe (idcA) einer Zertifizierungscomputer- 
einheit (CA), die ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren letztes das 65 
Netzzertifikat (CertN) ist, liefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann, aufweist, 
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— bei dem eine zweite Nachricht (N2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) iibertragen wird, wobei die zweite 
Nachricht (M2) mindestens das Netzzertifikat 
(CertN) oder die Kette von Zertifikaten, deren 
letztes das Netzzertifikat (CertN) ist, aufweist, 
und 

— bei dem in der ersten Computereinheit (U) das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, deren letztes das Netzzertifikat (CertN) ist, 
verifiziert wird. 

6. Verfahren nach Anspruch 5, 

— bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die dritte 
Nachricht (M3) ein Benutzerzertifikat (CertU) 
oder eine Kette von Zertifikaten, deren letztes das 
Benutzerzertifikat (CertU) ist, aufweist, 

— bei dem in der zweiten Computereinheit (N) 
das Benutzerzertifikat (CertU) oder die Kette von 
Zertifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

— bei dem die erste Nachricht (Ml) eine Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Identitatsangabe (id CA ) einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 
putereinheit (U) ein Netzzertifikat (CertN) liefert, 
das von der ersten Computereinheit (U) verifiziert 
werden kann, aufweist, 

bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) iibertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den er- 
sten Wert (g 1 ) als EingangsgroBe aufweist, 

— bei dem cine fiinftc Nachricht (M5), die minde- 
stens das Netzzertifikat (CertN) oder eine Zertifi- 
katskette, deren letztes Glied das Netzzertifikat 
(CertN) ist, oder das Benutzerzertifikat (CertU) 
oder eine Zertifikatskette, deren letztes Glied das 
Benutzerzertifikat (CertU) ist, aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 
ten Computereinheit (N) iibertragen wird, 

8. Verfahren nach einem der Anspriiche 1 bis 7, 

— bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) iibertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den of- 
fentlichen Netzschliissel (g s ), den ersten Wert (g*), 
die TdentitatsgroRe (TMUT) der ersten Computer- 
einheit (U) als EingangsgroBe aufweist und wobei 
eine AusgangsgroBe einer dritten Hash-Funktion 
(h3) unter Verwendung einer zweiten Signatur- 
funktion (Sig^) signiert wird, 

— bei dem in der Zertifizierungscomputereinheit 
(CA) der erste signierte Term verifiziert wird, 

— bei dem in der Zertifizierungscomputereinheit 
(CA) ein drifter Term gebildet wird, der minde- 
stens den ersten- Wert (g c ), den offentlichen Netz- 
schliissel (g s ) und eine Identitatsangabe (id N ) der 
zweiten Computereinheit (N) aufweist, 

— bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash- Wert iiber den dritten Term ge- 
bildet wird, 

— bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash- Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
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(SigcA) signiert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein Netzzertifikat (CertN) gebildet wird, das 
mindestens den dritten Term und den signierten 
Hash-Wert des dritten Terms aufweist, 5 

- bei dem in der Zertifizierungscomputereinheit 
(CA) auf einen flinften Term der mindestens die 
Identitatsangabe (id N ) der zweiten Computerein- 
heit (N) und ein Benutzerzertiflkat (CertU) auf- 
weist, eine vierte Mash-Funktion (h4) angewendet 10 
wird, 

- bei dem der Hash-Wert des flinften Terms durch 
Verwendung der dritten Signaturfunktion (SigcA) 
mil dem geheimen Zertifizierungsschliissel (cs) 
signiert und das Ergebnis den zweiten signierten 15 
Term darstellt, 

- bei dem eine funfte Nachricht (M5), die minde- 
stens das Netzzertifikat (CertN), den fiinften Term 
und den zweiten signierten Term aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 20 
ten Computereinheit (N) ubertragen wird, 

- bei dem in der zweiten Computereinheit (N) 
das Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert werden, 

- bei dem in der zweiten Computereinheit (N) ein 25 
vierter Term, der mindestens den offentlichen 
Netzschliissel (g s ) und den signierten Hash-Wert 
des dritten Terms aufweist, gebildet wird, 

- bei dem eine zw r eite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 30 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens den vierten Term auf- 
weist, und 

- bei dem in der ersten Computereinheit (U) das- 
Netzzertifikat (CertN) verifiziert wird. 35 

9. Vcrfahrcn nach cincm der Anspriichc 1 bis 8, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Identitatsangabe (idcA) einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 40 
putereinheit (U) ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren letztes das 
Netzzertifikat (CertN) ist, liefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann oder konnen, aufweist, 45 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens ein Zer- 
tifikat auf den offentlichen Netzschlussel (g s ), den 50 
ersten Wert (g^und die IdentitatsgroBe (IMUI) der 
ersten Computereinheit (U) aufweist, 

bei dem in der Zertifizierungscomputereinheit 
(CA) ein dritter Term gebildet wird, der minde- 
stens den offentlichen Netzschliissel (g s )odcr cine 55 
GroBe, die den offentlichen Netzschlussel (g s ) 
eindeutig bestimmt, aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Ilash-Funk- 
tion (h4) ein Hash-Wert fiber den dritten Term ge- 60 
bildet wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash-Wert fiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(SigcA) signiert wird, 65 

- bei dem eine funfte Nachricht (M5), die minde- 
stens den signierten Hash-Wert iiber den dritten 
Term aufweist, von der Zertifizierungscomputer- 



einheit (CA) zu der zweiten Computereinheit (N) 
ubertragen wird, 

— bei dem in der zweiten Computereinheit (N) der 
signierte Hash-Wert iiber den dritten Term verifi- 
ziert wird, 

— bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens den signierten Hash- 
Wert fiber den dritten Term aufweist, und 

— bei dem in der ersten Computereinheit (U) der 
signierte Hash-Wert iiber den dritten Term verifi- 
ziert wird. 

10. Verfahren nach Anspmch 9, bei dem der dritte 
Term einen offentlichen Benutzersignaturschliissel 
(KU) oder eine GroBe, die den Benutzersignaturschliis- 
sel (KU) eindeutig bestimmt, aufweist. 

11. Verfahren nach Anspruch 9 oder 10, bei dem die 
funfte Nachricht (M5) sowie die zweite Nachricht 
(M2) mindestens eine Kette von Zertifikaten aufweist. 

12. Verfahren nach Anspruch 8, bei dem der funfte 
Term einen Zeitstempel (TS) aufweist. 

13. Verfahren nach einem der Anspriiche 9 bis 12, bei 
dem der dritte Term einen Zeitstempel (TS) aufweist. 

14. Verfahren nach einem der Anspriiche 7 bis 13, 

— bei dem in der ersten Computereinheit (U) vor 
Bildung der ersten Nachricht (Ml) ein Zwischen- 
schliissel (L) gebildet wird, indem ein offentlicher 
Schlusselvereinbarungsschliissel (g 11 ) mit der er- 
sten Zufallszahl (t) potenziert wird, 

bei dem in der ersten Computereinheit (U) vor 
Bildung der ersten Nachricht (Ml) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter verschliisselter Term (VT2) gebildet 
wird, indem die IdentitatsgroBe (IMUI) mit dem 
Zwischcnschliisscl (L) unter Anwcndung einer 
Verschliisselungsfunktion (Enc) verschliisselt 
wird, 

— bei dem die erste Nachricht (Ml) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) den zweiten verschlusselten Term (VT2) 
aufweist, 

— bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) den zweiten verschlusselten Term (VT2) 
aufweist. 

15. Verfahren nach einem der Anspriiche 7 bis 14, bei 
dem in der fiinften Nachricht (M5) das Netzzertifikat 
(CertN) oder eine Zertifikatskette, deren letztes Glied 
das Netzzertifikat (CertN) ist, oder das Benutzerzertifl- 
kat (CertU) oder eine Zertifikatskette, deren letztes 
Glied das Benutzerzertiflkat (CertU) ist, mit L ver- 
schliisselt ist. 

16. Verfahren nach einem der Anspriiche 7 bis 15, bei 
dem in der Zertifizierungscomputereinheit (CA) min- 
destens eine der GroBen, die Identitatsangabe (id N ) der 
zweiten Computereinheit (N), die IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U), der offentliche 
Netzschlussel (g s ), das Netzzertifikat (CertN) oder das 
Benutzerzertiflkat (CertU) anhand einer Revokationsli- 
ste iiberpriift wird. 

17. Verfahren nach einem der Anspriiche 1 bis 16, 

— bei dem die erste Nachricht (Ml) mindestens 
eine alte temporare IdentitatsgroBe (TMUIO) der 
ersten Computereinheit (U) aufweist, 

— bei dem in der zweiten Computereinheit (N), 
nachdem die erste Nachricht (Ml) empfangen 
wurde und bevor die zweite Nachricht (M2) gebil- 
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det wird, fur die erste Computereinheit (U) eine 
neue temporare IdentitatsgroBe (TMUIN) gebildet 
wird, 

- bei dem aus der neuen temporaren Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 5 
ein funfter verschliisselter Term (VT5) gebildet 
wird, in dem die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschliissel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschliisselt 10 
wird, 

- bei dem die zw r eite Nachricht (M2) mindestens 
den funften verschliisselten Term (VT5) aufweist, 

- bei dem in der ersten Computereinheit (U), 
nachdem die zweite Nachricht (M2) empfangen 15 
wurde und bevor die vierte EingangsgroBe gebil- 
det wird, der fiinfte verschliisselte Term (VT5) 
entschliisselt wird, 

- bei dem die dritte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 20 
Funktion (h2) zur Bildung der vierten Eingangs- 
groBe mindestens die neue temporare Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 
aufweist, und 

- bei dem die dritte Nachricht (M3) nicht die 25 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) aufweist. 

18. Verfahren nach einem der Anspriiche 1 bis 17, 

- bei dem in der zweiten Computereinheit (N) 
eine Information zu dem Sitzungsschlussel (K) 30 
en thai ten de Antwort (A) gebildet wird, 

bei dem eine zw r eite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) iibertragen wird, wobei die zweite 
Nachricht (M2) mindestens die Antwort (A) auf- 35 
wcist, und 

- bei dem in der ersten Computereinheit (U) der 
Sitzungsschlussel (K) anhand der Antwort (A) 
iiberpriift wird. 

19. Verfahren nach einem der Anspriiche 1 bis 18, bei 40 
dem die dritte Nachricht (M3) eine IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U) aufweist. 

20. Verfahren nach einem der Anspriiche 1 bis 19, 

- bei dem in der zweiten Computereinheit (N) die 
erste EingangsgroBe der ersten Hash-Funktion 45 
(hi) mindestens eine zweite Zufallszahl (r) auf- 
weist, 

- bei dem die zweite Nachricht (M2) die zweite 
Zufallszahl (r) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 50 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf- 
weist. 

21. Verfahren nach einem der Anspriiche 1 bis 20, bei 
dem die GroBc bzw. die GroBen wic in Anspruch 3 die 55 
zweite Zufallszahl (r) enthalt bzw. enthalten. 

22. Verfahren nach einem der Anspriiche 1 bis 21, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 60 
ein zweiter verschliisselter Term (VT2) gebildet 
wird, in dem mindestens die IdentitatsgroBe 
(IMUI) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schliisselt wird, 65 

- bei dem die dritte Nachricht (M3) den zweiten 
verschliisselten Term (VT2) aufweist, und 

- bei dem in der zweiten Computereinheit (N), 
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nachdem die dritte Nachricht (M3) empfangen 
wurde, der zweite verschliisselte Term (VT2) ent- 
schliisselt wird. 

23. Verfahren nach einem der Anspriiche 1 bis 22, 

— bei dem die zweite Nachricht (M2) ein optiona- 
les erstes Datenfeld (datl) aufweist und 

- bei dem die dritte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 
Funktion (h2) zur Bildung der vierten Eingangs- 
groBe mindestens das optionale erste Datenfeld 
(datl) aufweist. 

24. Verfahren nach einem der Anspriiche 1 bis 23, 

— bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein dritter ver- 
schliisselter Term (VT3) gebildet wird, indem 
mindestens ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schliisselt wird, 

bei dem die dritte Nachricht (M3) mindestens 
den dritten verschliisselten Term (VT3) aufweist, 
und 

- bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschliisselte Term (VT3) ent- 
schliisselt wird. 

25. Verfahren nach einem der Anspriiche 1 bis 24, 

— bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein erster ver- 
schliisselter Term (VT1) gebildet wird, indem 
mindestens der Signaturterm unter Anwendung 
der Verschlusselungsfunktion (Enc) verschliisselt 
wird, 

- bei dem die dritte Nachricht (M3) den ersten 
verschliisselten Term (VT1) aufweist, und 

— bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschliisselte Term (VT1) ent- 
schliisselt wird. 

26. Verfahren nach einem der Anspriiche 1 bis 25, bei 
dem in der zweiten Computereinheit (N) eine Antwort 
(A) gebildet wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, die in der zweiten Compu- 
tereinheit (N) und in der ersten Computereinheit (U) 
bekannt sind, mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt werden. 

27. Verfahren nach einem der Anspriiche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort. (A) 
iiberpriift wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, mit dem Sitzungsschlussel 
(K) unter Anw r endung der Verschlusselungsfunktion 
(Enc) verschliisselt wird und das Ergebnis mit der Ant- 
wort (A) vcrglichcn wird. 

28. Verfahren nach einem der Anspriiche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort (A) 
iiberpriift wird, indem die Antwort (A) mit dem Sit- 
zungsschlussel (K) unter Anwendung der Verschlussel- 
ungsfunktion (Enc) entschliisselt wird und eine ent- 
schiusselte Konstante (const') mit einer Konstante 
(const), sowie eventuell weiteren GroBen, verglichen 
wird. 

29. Verfahren nach einem der Anspriiche 1 bis 28, 

- bei dem in der zweiten Computereinheit (N) 
eine Antwort (A) gebildet wird, indem eine dritte 
Hash-Funktion (h3) angewendet wird auf eine 
EingangsgroBe, die mindestens den Sitzungs- 
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schlussel (K) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 
Antwort (A) iiberpriift wird, indem die dritte 
Hash-Funktion (h3) angewendet wird auf die Ein- 
gangsgroBe, die mindestens den Sitzungsschliissel 5 
(K) aufweist, und das Ergebnis mit der Antwort 
(A) verglichen wird. 

30. Verfahren nach einem der Anspriiche 1 bis 29, bei 
dem die dritte Nachricht (M3) mindestens ein optiona- 
les zweites Datenfeld (dat2) aufweist. 10 

31. Verfahren nach einem der Anspriiche 1 bis 30, bei 
dem die erste Computereinheit (U) durch ein mobiles 
Kommunikationsendgerat und/oder die zweite Compu- 
tereinheit (N) durch eine Authentifizierungseinheit in 
einem Mobil- Kommunikationsnetz gebildet wird/wer- 15 
den. 

32. Anordnung zum rechnergestiitzten Austausch 
kryptographischer Schlussel zwischen einer ersten 
Computereinheit (U) und einer zweiten Computerein- 
heit (N), bei der die erste Computereinheit (U) und die 20 
zweite Computereinheit (N) derart eingerichtet sind, 
daB folgende Verfahrensschritte durchfiihrbar sind: 

- aus einer ersten Zufallszahl (t) wird mit Hilfe 
eines erzeugenden Elements (g) einer endlichen 
Gruppe in der ersten Computereinheit (U) ein er- 25 
ster Wert (g fc ) gebildet, 

- eine erste Nachricht (Ml) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) iibertragen, wobei die ersten Nachricht 
(Ml) mindestens den ersten Wert (g c ) aufweist, 30 

in der zweiten Computereinheit (N) wird ein 
Sitzungsschliissel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweist, der gebildet 35 
wird durch cine Exponentiation dcs ersten Wcrts 
(g l ) mit einem geheimen Netzschlussel (s), 

- in der ersten Computereinheit (U) wird der Sit- 
zungsschliissel (K) gebildet mit Hilfe der ersten 
Hash-Funktion (hi), wobei eine zweite Eingangs- 40 
groBe der ersten Hash-Funktion (hi) mindestens 
einen zweiten Term aufweist, der gebildet wird 
durch eine Exponentiation eines offentlichen 
Netzs chlii s sets (g s ) mit der ersten Zufallszahl (t), 

- in der ersten Computereinheit (U) wird mit 45 
Hilfe einer zweiten Hash-Funktion (h2) oder der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fur die erste Hash-Funktion (hi) oder fur 
die zweite Hash-Funktion (h2) zur Bildung der 50 
vierten EingangsgrdBe eine oder weitere GrdBen 
aufweist, aus denen auf den Sitzungsschliissel ein- 
deutig riickgeschlossen werden kann. 

- in der ersten Computereinheit (U) wird ein Si- 
gnaturtcrm aus mindestens der vierten Eingangs- 55 
groBe gebildet unter Anwendung einer ersten Si- 
gnaturfunktion (Sigu), 

- eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) iibertragen, wobei die dritte Nachricht 60 
(M3) mindestens den Signaturterm der ersten 
Computereinheit (U) aufweist, und 

- in der zweiten Computereinheit (N) wird der 
Signaturterm verifiziert. 

33. Anordnung nach Anspruch 31, bei dem der ge- 65 
heime Netzschlussel und/oder der offentliche Netz- 
schlussel langlebige Schlussel isl/sind. 

34. Anordnung nach Anspruch 32 oder 33, bei der die 



erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB die dritte Ein- 
gangsgroBe mehrere GroBen aufweist, aus denen auf 
den Sitzungsschliissel eindeutig riickgeschlossen wer- 
den kann. 

35. Anordnung nach einem der Anspriiche 32 bis 34, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroBe bzw. die GroBen mindestens zumindest den er- 
sten Wert (g*) und/oder den offentlichen Netzschlussel 
(g s ) enthalt bzw. enthalten. 

36. Anordnung nach einem der Anspriiche 32 bis 35, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

— die erste Nachricht (Ml) weist eine Identitats- 
angabe (idc A ) einer Zertifizierungscomputerein- 
heit (CA), die ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren letztes das Netzzerti- 
fikat (CertN) ist, liefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann, 
auf, 

— eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) iibertragen, wobei die zweite Nach- 
richt (M2) mindestens das Netzzertifikat (CertN) 
oder die Kette von Zertifikaten, deren letztes das 
Netzzertifikat (CertN) ist, aufweist, und 

— in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, deren letztes das Netzzertifikat (CertN) ist, 
verifiziert wird. 

37. Anordnung nach Anspruch 36, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfiihrbar sind: 

— eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) iibertragen, wobei die dritte Nachricht 
(M3) ein Benutzerzertifikat (CertU) oder eine 
Kette von Zertifikaten, deren letztes das Benutzer- 
zertifikat (CertU) ist, aufweist, 

— in der zweiten Computereinheit (N) wird das 
Benutzerzertifikat (CertU) oder die Kette von Zer- 
tifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert. 

38. Anordnung nach einem der Anspriiche 32 bis 37, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

— die erste Nachricht (Ml) weist eine Identitats- 
groBe (IMUI) der ersten Computereinheit (U) und 
eine Identities angabe (icIca) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) liefert, das 
von der ersten Computereinheit (U) verifiziert 
werden kann, auf, 

— eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) iibertragen, wobei die 
vierte Nachricht (M4) mindestens den ersten Wert 
(g*) als EingangsgroBe aufweist, 

— eine fiinfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN) oder eine Zertifikatskette, 
deren Tetztes Glied das Netzzertifikat (CertN) ist, 
oder das Benutzerzertifikat (CertU) oder eine Zer- 
tifikatskette, deren letztes Glied das Benutzerzer- 
tifikat (CertU) ist, aufweist, wird von der Zertifi- 
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zierungscomputereinheit (CA) zu der zweiten 
Computereinheit (N) ubertragen, 

39. Anordnung nach einem der Anspriiche 32 bis 38, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 5 
gende Verfahrensschritte durchfiihrbar sind: 

- eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (N4) mindestens den offentlichen 10 
Netzschliissei (g s ), den ersten Wert (g fc ), die Iden- 
titatsgroBe (IMUI) der ersten (Computereinheit 
(U) als EingangsgroBe aufweist und wobei eine 
AusgangsgroBe einer dritten Hash-Funklion (h3) 
unter Verwendung einer zweiten Signaturfunktion 15 
(Sig N ) signiert wird, 

- in der Zertifizierungscomputereinheit (CA) 
wird der erste signierte Term verifiziert, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens den 20 
ersten Wert (g l ), den offentlichen Netzschliissei 
(g s ) und eine Identitatsangabe (id^) der zweiten 
Computereinheit (N) aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 25 
tion (h4) ein Hash- Wert iiber den dritten Term ge- 
bildet, 

- in der Zertifizierungscomputereinheit (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 30 
(vSigcA) signiert, 

in der Zertifizierungscomputereinheit (CA) 
wird ein Netzzertifikat (CertN) gebildet, das min- 
destens den dritten Term und den signierten Hash- 
Wert des dritten Terms aufweist, 35 

- in der Zertifizierungscomputereinheit (CA) 
wird auf einen fiinften Term, der mindestens die 
Identitatsangabe (id N ) der zweiten Computerein- 
heit (N) und ein Benutzerzertifikat (CertU) auf- 
weist, eine vierte Ilash-Funktion (h4) angewen- 40 
det, 

der Hash-Wert des fiinften Terms wird durch 
Verwendung der dritten Signaturfunktion (SigcA) 
mit dem geheimen Zertifizierungsschliissel (cs) 
signiert und das Ergebnis stellt den zweiten si- 45 
gnierten Term dar, 

- eine fiinfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN), den fiinften Term und den 
zweiten signierten Term aufweist, wird von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 50 
ten Computereinheit (N) ubertragen, 

- in der zweiten Computereinheit (N) werden das 
Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert, 

- in der zweiten Computereinheit (N) wird ein 55 
vierter Term, der mindestens den offentlichen 
Netzschliissei (g s ) und den signierten Hash-Wert 
des dritten Terms aufweist, gebildet, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 60 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens den vierten Term aufweist, 
und 

in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) verifiziert. 65 

40. Anordnung nach einem der Anspriiche 33 bis 39, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 



gende Verfahrensschritte durchfiihrbar sind: 

— die erste Nachricht (Ml) w r eist eine Identitats- 
groBe (IMUI) der ersten Computereinheit (U) und 
eine Identitatsangabe (idcA) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren letztes das Netzzerti- 
fikat (CertN) ist, liefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann 
oder konnen, auf, 

— eine vierte Nachricht (M4) wird von der zwei- 
ten (Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens ein ZertifikaL 
auf den offentlichen Netzschliissei (g s ), den ersten 
Wert (g^und die IdentitatsgroBe (IMUI) der ersten 
Computereinheit (U) aufweist, 

— in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens ei- 
nen offentlichen Netzschliissei (g s ) oder eine 
GroBe, die den offentlichen Netzschliissei (g s ) 
eindeutig bestimmt, aufweist, 

— in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash-Wert iiber den dritten Term ge- 
bildet, 

— in der Zertifizierungscomputereinheit (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(SigcA) signiert, 

eine fiinfte Nachricht (M5), die mindestens den 
signierten Hash-Wert iiber den dritten Term auf- 
weist, wird von der Zertifizierungscomputerein- 
heit (CA) zu der zweiten Computereinheit (N) 
ubertragen, 

— in der zweiten Computereinheit (N) wird der si- 
gnierte Hash-Wert iiber den dritten Term verifi- 
ziert, 

— eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (Ml) mindestens den den signierten Hash- 
Wert iiber den dritten Term aufweist, und 

— in der ersten Computereinheit (U) wird der si- 
gnierte Hash-Wert iiber den dritten Term verifi- 
ziert. 

41. Anordnung nach Anspruch 40, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfiihrbar sind: 

der dritte Term weist den offentlichen Benutzersigna- 
turschliissel (KU) oder eine GroBe, die den Benutzersi- 
gnaturschliissel (KU) eindeutig bestimmt, auf. 

42. Anordnung nach Anspruch 40 oder 41, bei der die 
erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB folgende Ver- 
fahrensschritte durchfiihrbar sind: 

die fiinfte Nachricht (M5) sowie die zweite Nachricht 
(M2) weist mindestens eine Kette von Zertifikaten auf. 

43. Anordnung nach einem der Anspriiche 38 bis 42, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

der fiinfte Term weist einen Zeitstempel (TS) auf. 

44. Anordnung nach einem der Anspriiche 38 bis 43, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 
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der dritte Term weist einen Zeitstempel (TS) auf. 

45. Anordnung nach einem der Anspriiche 38 bis 44, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 5 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der -ersten Nachricht (Ml) ein Zwischen- 
schliissel (L) gebildet wird, indem ein offentlicher 
SchlUsselvereinbarungsschliissel (g u ) mit der er- 
sten Zufallszahl (t) potenziert, 10 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der ersten Nachricht (Ml) aus der Identitats- 
groBe (IMUI) der ersten Computereinheit (U) ein 
zweiter verschliisselter Term (VT2) gebildet wird, 
indem die IdentitatsgroBe (IMUI) mit dem Zwi- 15 
schenschlijssel (L) unter Anwendung einer Ver- 
schliisselungsfunktion (Enc) verschliisselt, 

- die erste Nachricht (Ml) weist anstatt der Iden- 
titatsgroBe (IMUI) der ersten Computereinheit 
(U) den zweiten verschliisselten Term (VT2) auf, 20 

- bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) den zweiten verschliisselten Term (VT2) 
aufweist. 

46. Anordnung nach einem der Anspriiche 38 bis 45, 25 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- in der fiinften Nachricht (M5) ist das Netzzerti- 
fikat (CertN) oder eine Zertifikatskette, deren letz- 30 
tes Glied das Netzzertifikat (CertN) ist, oder das 
Benutzerzertifikat (CertU) oder eine Zertifikats- 
kette, deren letztes Glied das Benutzerzertifikat 
(CertU) ist, mit L verschliisselt. 

47. Anordnung nach einem der Anspriiche 38 bis 46, 35 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

in der Zertifizierungscomputereinheit (CA) wird min- 
destens eine der GroBen, die Identities angabe (id^) der 40 
zweiten Computereinheit (N), die IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U), der offentliche 
Netzschliissel (g s ), das Netzzertifikat (CertN) oder das 
Benutzerzertifikat (CertU) anhand einer Re vokationsli- 
ste iiberpriift. 45 

48. Anordnung nach einem der Anspriiche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- die erste Nachricht (Ml) weist mindestens eine 50 
alte temporare IdentitatsgroBe (TMUIO) der er- 
sten Computereinheit (U) auf, 

in der zweiten Computereinheit (N) wird, nach- 
dem die erste Nachricht (Ml) empfangen wurde 
und bevor die zweite Nachricht (M2) gebildet 55 
wird, fur die erste Computereinheit (U) eine neue 
temporare IdentitatsgroBe (TMUIN) gebildet, 

- aus der neuen temporaren IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) wird 
ein fiinfte verschliisselter Term (VT5) gebildet, 60 
indem die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschliissel (K) unter Anwendung der 
Verschliisselungsfunktion (Enc) verschliisselt 
wird, 65 

- die zweite Nachricht (M2) weist mindestens 
den fiinften verschliisselten Term (VT5) auf, 

- in der ersten Computereinheit (U) wird, nach- 



30 

dem die zweite Nachricht (M2) empfangen wurde 
und bevor die vierte EingangsgroBe gebildet wird, 
der fiinfte verschliisselte Term (VT5) entschliis- 
selt, 

— die dritte EingangsgroBe fur die erste Hash- 
Funktion (hi) oder fur die zweite Ilash-Funktion 
(h2) zur Bildung der vierten EingangsgroBe weist 
mindestens die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) auf, 
und 

— die dritte Nachricht (M3) weist nicht die Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
auf. 

49. Anordnung nach einem der Anspriiche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

— in der zweiten Computereinheit (N) wird eine 
Information zu dem Sitzungsschliissel (K) enthal- 
tende Antwort (A) gebildet, 

— eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) iibertragen, wobei die zweite Nach- 
richt (M2) mindestens die Antwort (A) aufweist, 
und 

— in der ersten Computereinheit (U) wird der Sit- 
zungsschliissel (K) anhand der Antwort (A) iiber- 
priift. 

50. Anordnung nach einem der Anspriiche 32 bis 49, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daR fol- 
gende Verfahrensschritte durchfiihrbar sind: 

die dritte Nachricht (M3) weist eine IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U) auf. 

51. Anordnung nach einem der Anspriiche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

— in der zweiten Computereinheit (N) weist die 
erste EingangsgroBe der ersten Ilash-Funktion 
(hi) mindestens eine zweite Zufallszahl (r) auf, 

die zweite Nachricht (M2) weist die zweite Zu- 
fallszahl (r) auf, und 

— in der ersten Computereinheit (U) weist die 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf. 

52. Anordnung nach einem der Anspriiche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroRe bzw. die GroBen nach Anspruch 34 die zweite 
Zufallszahl (r) enthalt bzw. enthalten. 

53. Anordnung nach einem der Anspriiche 32 bis 51, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

— in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter verschliisselter Term (VT2) gebildet, 
indem mindestens die IdentitatsgroBe (IMUI) mit 
dem Sitzungsschliissel (K) unter Anwendung der 
Verschliisselungsfunktion (Enc) verschliisselt 
wird, 

die dritte Nachricht (M3) weist den zweiten 
verschliisselten Term (VT2) auf, und 

— in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde, 
der zweite verschliisselte Term (VT2) entschliis- 
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selt. 

54. Anordnung nach einem der Anspriiche 32 bis 53, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 5 

- die zweite Nachricht (M2) weist ein optionales 
erstes Datenfeld (datl) auf, und 

- die dritte EingangsgroBe fur die erste Hash- 
Funktion (hi) oder fur die zweite Hash-Funktion 
(h2) zur Bildung der vierten EingangsgroBe weist 10 
mindestens das optionaie erste Datenfeld (datl) 
auf. 

55. Anordnung nach einem der Anspriiche 32 bis 54, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 15 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) ein dritter ver- 
schliisselter Term (VT3) gebildet, indem minde- 
stens ein optionales zweites Datenfeld (dat2) mit 20 
dem Sitzungsschliissel (K) unter Anwendung der 
Verschliisselungsfunktion (Enc) verschliisselt 
wird, 

- die dritte Nachricht (M3) weist mindestens den 
dritten verschliisselten Term (VT3) auf, und 25 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde, 
der dritte verschliisselte Term (VT3) entschliis- 
selt. 

56. Anordnung nach einem der Anspriiche 32 bis 55, 30 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) ein erster ver- 35 
schliisscltcr Term (VT1) gebildet, indem minde- 
stens der Signaturterm unter Anwendung der Ver- 
schliisselungsfunktion (Enc) verschliisselt wird, 

- die dritte Nachricht (M3) weist den ersten ver- 
schliisselten Term (VT1) auf, und 40 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde 
und be vor der Signaturterm verifiziert wird, der 
erste verschliisselte Term (VT1) entschliisselt. 

57. Anordnung nach einem der Anspriiche 32 bis 56, 45 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

in der zweiten Computereinheit (N) wird eine Antwort 
(A) gebildet, indem eine Konstante (const), sow r ie 50 
eventuell weitere GroBen, die in der zweiten Compu- 
tereinheit (N) und in der ersten Computereinheit (U) 
bekannt sind, mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschliisselungsfunktion (Enc) ver- 
schliisselt wird. 55 

58. Anordnung nach einem der Anspriiche 44 bis 57, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

in der ersten Computereinheit (U) wird die Antwort 60 
(A) iiberpriift, indem eine Konstante (const) sowie 
eventuell weitere GroBen, mit dem Sitzungsschliissel 
(K) unter Anwendung der Verschliisselungsfunktion 
(Enc) verschliisselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 65 

59. Anordnung nach einem der Anspriiche 44 bis 57, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
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gende Verfahrensschritte durchfuhrbar sind: 
in der ersten Computereinheit (U) wird die Antwort 
(A) iiberpriift, indem die Antwort (A) mit dem Sit- 
zungsschliissel (K) unter Anwendung der Verschliissel- 
ungsfunktion (Enc) entschliisselt wird und eine ent- 
schliisselte Konstante (const') sowie eventuell weitere 
GroBen, mit einer Konstante (const) verglichen wird. 

60. Anordnung nach einem der Anspriiche 32 bis 59, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) wird eine 
Antwort (A) gebildet, indem eine dritte Hash- 
Funktion (h3) angewendet wird auf eine Ein- 
gangsgroBe, die mindestens den Sitzungsschliissel 
(K) aufweist, und 

— in der ersten Computereinheit (U) wird die Ant- 
wort (A) iiberpriift, indem die dritte Hash-Funk- 
tion (h3) angewendet wird auf eine Eingangs- 
groBe, die mindestens den Sitzungsschliissel (K) 
aufweist, und das Ergebnis mit der Antwort (A) 
verglichen wird. 

61. Anordnung nach einem der Anspriiche 32 bis 60, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

die dritte Nachricht (M3) weist mindestens ein optiona- 
les zweites Datenfeld (dat2) auf. 

62. Anordnung nach einem der Anspriiche 32 bis 61, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daR fol- 
gende Verfahrensschritte durchfuhrbar sind: 

die erste Computereinheit (U) durch ein mobiles Kom- 
munikationsendgerat und/oder die zweite Computer- 
einheit (N) wird/werden durch eine Authentifizierungs- 
cinhcit in einem Mobil- Kommunikationsnctz gebildet. 
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